सुरक्षा तज्ञ विझ यांनी Microsoft च्या Azure अॅप सेवेतील असुरक्षिततेबद्दल चेतावणी दिली. भेद्यता शेकडो स्त्रोत कोड रेपॉजिटरीज उघड करते. मायक्रोसॉफ्टने यानंतर लीक केले आहे.
विझने Azure अॅप सेवेमध्ये तथाकथित NotLegit भेद्यता शोधली. Azure Web Apps या नावाने ओळखली जाणारी ही सेवा वेबसाईट आणि वेब-आधारित ऍप्लिकेशन्स होस्ट करण्यासाठी एक व्यासपीठ आहे. स्थानिक गिट टूल वापरून ऍझ्युर अॅप सेवेवर सोर्स कोड आणि कलाकृती अपलोड केल्या जाऊ शकतात. वापरकर्ते Azure अॅप सर्व्हिस कंटेनरसह स्थानिक Git भांडार सेट करू शकतात आणि कोड थेट सर्व्हरवर पुश करू शकतात.
संशोधकांच्या मते, असुरक्षितता नेमकी येथेच आहे. Azure अॅप सेवेसाठी कोड रोल आउट करण्यासाठी स्थानिक Git वापरताना, git रिपॉझिटरी सार्वजनिकरित्या प्रवेश करण्यायोग्य निर्देशिकेसह सेट केली गेली होती ज्यामध्ये प्रत्येकजण प्रवेश करू शकतो.
अनेक कोड भाषा प्रभावित
विशेषतः PHP, Python, Ruby किंवा Node मध्ये लिहिलेला सोर्स कोड असुरक्षित आहे. हे अंशतः आहे कारण या कोड भाषा अनेकदा वेब सर्व्हर वापरतात जसे की Apache, Nginx आणि Flask. हे वेब सर्व्हर web.config फाइल्स हाताळू शकत नाहीत. हे सांगितलेल्या स्त्रोत कोड भांडारांमध्ये सार्वजनिक प्रवेशास अनुमती देते.
मायक्रोसॉफ्टला माहीत आहे
Wiz मधील सुरक्षा तज्ञांनी या वर्षाच्या ऑक्टोबरच्या सुरुवातीलाच मायक्रोसॉफ्टला असुरक्षिततेची माहिती दिली होती. त्यानंतर मायक्रोसॉफ्टने ते बंद केले आहे. कोणत्याही परिस्थितीत, तज्ञ वापरकर्त्यांना त्यांचा स्त्रोत कोड उघड झाला आहे की नाही हे तपासण्यासाठी आणि त्यांच्या अनुप्रयोगांवर कारवाई करण्यास उद्युक्त करतात.