Lo specialista della sicurezza Wiz avverte di una vulnerabilità nel servizio app Azure di Microsoft. La vulnerabilità espone centinaia di repository di codice sorgente. Da allora Microsoft ha corretto la perdita.
Wiz ha scoperto la cosiddetta vulnerabilità NotLegit nel servizio app di Azure. Il servizio, noto anche come App Web di Azure, è una piattaforma per l'hosting di siti Web e applicazioni basate sul Web. Il codice sorgente e gli artefatti possono essere caricati nel servizio app di Azure usando lo strumento Git locale. Gli utenti possono configurare un repository Git locale con il contenitore del servizio app di Azure e inviare il codice direttamente al server.
Secondo i ricercatori, è proprio qui che sta la vulnerabilità. Quando si usa Git locale per distribuire il codice al servizio app di Azure, il repository git è stato configurato con una directory accessibile pubblicamente a cui tutti possono accedere.
Diversi linguaggi di codice interessati
Soprattutto il codice sorgente scritto in PHP, Python, Ruby o Node è vulnerabile. Ciò è in parte dovuto al fatto che questi linguaggi di codice utilizzano spesso server Web come Apache, Nginx e Flask. Questi server Web non possono gestire i file web.config. Ciò consente l'accesso pubblico a detti repository di codice sorgente.
Noto a Microsoft
Gli specialisti della sicurezza di Wiz hanno già informato Microsoft della vulnerabilità all'inizio di ottobre di quest'anno. Da allora Microsoft lo ha chiuso. In ogni caso, gli esperti invitano gli utenti a verificare se il loro codice sorgente è stato rivelato e ad agire per le loro applicazioni.