Drošības speciālists Wiz brīdina par ievainojamību Microsoft Azure App Service. Ievainojamība atklāj simtiem pirmkoda krātuvju. Kopš tā laika Microsoft ir izlabojis noplūdi.
Wiz atklāja tā saukto NotLegit ievainojamību pakalpojumā Azure App Service. Pakalpojums, kas pazīstams arī kā Azure Web Apps, ir platforma vietņu un tīmekļa lietojumprogrammu mitināšanai. Avota kodu un artefaktus var augšupielādēt pakalpojumā Azure App Service, izmantojot vietējo Git rīku. Lietotāji var iestatīt Local Git repozitoriju ar Azure App Service konteineru un nosūtīt kodu tieši serverim.
Pēc pētnieku domām, tieši šeit slēpjas neaizsargātība. Izmantojot Local Git, lai ievietotu kodu pakalpojumā Azure App Service, git repozitorijs tika iestatīts ar publiski pieejamu direktoriju, kuram var piekļūt visi.
Ietekmētas vairākas koda valodas
Īpaši neaizsargāts ir pirmkods, kas rakstīts PHP, Python, Ruby vai Node. Daļēji tas ir tāpēc, ka šīs koda valodas bieži izmanto tīmekļa serverus, piemēram, Apache, Nginx un Flask. Šie tīmekļa serveri nevar apstrādāt web.config failus. Tas nodrošina publisku piekļuvi minētajām pirmkoda krātuvēm.
Zināms Microsoft
Wiz drošības speciālisti jau informēja Microsoft par ievainojamību šī gada oktobra sākumā. Kopš tā laika Microsoft to ir slēgusi. Jebkurā gadījumā eksperti mudina lietotājus pārbaudīt, vai viņu pirmkods ir atklāts, un rīkoties attiecībā uz viņu lietojumprogrammām.