מומחה האבטחה Wiz מזהיר מפני פגיעות בשירות Azure App Service של מיקרוסופט. הפגיעות חושפת מאות מאגרי קוד מקור. מיקרוסופט תיקנה מאז את ההדלפה.
Wiz גילה את הפגיעות המכונה NotLegit ב-Azure App Service. השירות, הידוע גם בשם Azure Web Apps, הוא פלטפורמה לאירוח אתרים ואפליקציות מבוססות אינטרנט. ניתן להעלות קוד מקור וחפצים ל-Azure App Service באמצעות הכלי Local Git. משתמשים יכולים להגדיר מאגר Local Git עם הקונטיינר של Azure App Service ולדחוף את הקוד ישירות לשרת.
לדברי החוקרים, כאן בדיוק טמונה הפגיעות. בעת שימוש ב-Local Git כדי להפיץ את הקוד לשירות Azure App, מאגר ה-git הוגדר עם ספרייה נגישה לציבור שכולם יכולים לגשת אליה.
מספר שפות קוד מושפעות
במיוחד קוד מקור שנכתב ב-PHP, Python, Ruby או Node הוא פגיע. זה בין השאר בגלל ששפות קוד אלה משתמשות לעתים קרובות בשרתי אינטרנט כגון Apache, Nginx ו-Flask. שרתי אינטרנט אלו אינם יכולים להתמודד עם קבצי web.config. זה מאפשר גישה ציבורית למאגרי קוד המקור האמורים.
מוכר למיקרוסופט
מומחי האבטחה ב-Wiz כבר הודיעו למיקרוסופט על הפגיעות בתחילת אוקטובר השנה. מיקרוסופט סגרה אותו מאז. בכל מקרה, המומחים קוראים למשתמשים לבדוק האם קוד המקור שלהם נחשף ולפעול עבור האפליקציות שלהם.