Beveiligingsspecialist Wiz waarschuwt voor een kwetsbaarheid in Microsoft's Azure App Service. De kwetsbaarheid stelt honderden broncodebronnen bloot. Microsoft heeft het lek inmiddels verholpen.
Wiz ontdekte de zogenaamde NotLegit-kwetsbaarheid in Azure App Service. De service, ook wel Azure Web Apps genoemd, is een platform voor het hosten van websites en webgebaseerde applicaties. Broncode en artefacten kunnen worden geüpload naar Azure App Service met behulp van het lokale Git-hulpprogramma. Gebruikers kunnen een lokale Git-opslagplaats instellen met de Azure App Service-container en de code rechtstreeks naar de server pushen.
Daar zit volgens de onderzoekers precies de kwetsbaarheid. Bij het gebruik van Local Git om de code uit te rollen naar de Azure App Service, is de git-repository opgezet met een openbaar toegankelijke directory waartoe iedereen toegang heeft.
Verschillende codetalen getroffen
Vooral broncode geschreven in PHP, Python, Ruby of Node is kwetsbaar. Dit komt mede doordat deze codetalen vaak gebruik maken van webservers zoals Apache, Nginx en Flask. Deze webservers kunnen geen web.config-bestanden aan. Dit geeft publieke toegang tot genoemde broncode-opslagplaatsen.
Bekend bij Microsoft
De beveiligingsspecialisten van Wiz hebben Microsoft begin oktober van dit jaar al op de hoogte gesteld van de kwetsbaarheid. Microsoft heeft het sindsdien gesloten. De experts dringen er in ieder geval bij gebruikers op aan om te controleren of hun broncode is onthuld en actie te ondernemen voor hun applicaties.