Saugos specialistas Wiz įspėja apie Microsoft Azure App Service pažeidžiamumą. Pažeidžiamumas atskleidžia šimtus šaltinio kodo saugyklų. Nuo tada „Microsoft“ pataisė nutekėjimą.
„Wiz“ aptiko vadinamąjį „NotLegit“ pažeidžiamumą „Azure App Service“. Paslauga, dar žinoma kaip Azure Web Apps, yra svetainių ir žiniatinklio programų prieglobos platforma. Šaltinio kodą ir artefaktus galima įkelti į „Azure App Service“ naudojant „Local Git“ įrankį. Vartotojai gali nustatyti „Local Git“ saugyklą naudodami „Azure App Service“ konteinerį ir nusiųsti kodą tiesiai į serverį.
Tyrėjų teigimu, būtent čia ir slypi pažeidžiamumas. Naudojant „Local Git“ kodui išleisti „Azure App Service“, „git“ saugykla buvo nustatyta su viešai prieinamu katalogu, kurį gali pasiekti visi.
Paveiktos kelios kodo kalbos
Ypač pažeidžiamas šaltinio kodas, parašytas PHP, Python, Ruby arba Node. Taip yra iš dalies todėl, kad šiose kodų kalbose dažnai naudojami žiniatinklio serveriai, tokie kaip „Apache“, „Nginx“ ir „Flask“. Šie žiniatinklio serveriai negali apdoroti web.config failų. Tai leidžia viešai prieiti prie minėtų šaltinio kodo saugyklų.
Žinomas „Microsoft“.
„Wiz“ saugos specialistai jau šių metų spalio pradžioje informavo „Microsoft“ apie pažeidžiamumą. Nuo to laiko „Microsoft“ ją uždarė. Bet kuriuo atveju ekspertai ragina vartotojus patikrinti, ar jų šaltinio kodas buvo atskleistas, ir imtis veiksmų dėl jų programų.