Öryggissérfræðingurinn Wiz varar við varnarleysi í Azure App Service Microsoft. Varnarleysið afhjúpar hundruð frumkóðageymsla. Microsoft hefur síðan lagfært lekann.
Wiz uppgötvaði svokallaða NotLegit varnarleysi í Azure App Service. Þjónustan, einnig þekkt sem Azure Web Apps, er vettvangur til að hýsa vefsíður og vefforrit. Hægt er að hlaða upp frumkóða og gripum í Azure App Service með því að nota Local Git tólið. Notendur geta sett upp Local Git geymslu með Azure App Service gámnum og ýtt kóðanum beint á netþjóninn.
Að sögn rannsakenda er einmitt þar sem varnarleysið liggur. Þegar Local Git var notað til að setja kóðann út í Azure App Service var git geymslan sett upp með almenningi aðgengilegri möppu sem allir hafa aðgang að.
Nokkur kóðamál hafa áhrif
Sérstaklega er frumkóði skrifaður í PHP, Python, Ruby eða Node viðkvæmur. Þetta er að hluta til vegna þess að þessi kóðamál nota oft vefþjóna eins og Apache, Nginx og Flask. Þessir vefþjónar geta ekki séð um web.config skrár. Þetta veitir almenningi aðgang að umræddum frumkóðageymslum.
Þekktur af Microsoft
Öryggissérfræðingarnir hjá Wiz tilkynntu Microsoft um varnarleysið þegar í byrjun október á þessu ári. Microsoft hefur síðan lokað því. Í öllum tilvikum hvetja sérfræðingarnir notendur til að athuga hvort frumkóði þeirra hafi verið opinberaður og grípa til aðgerða vegna forrita þeirra.