Sikkerhetsspesialist Wiz advarer om en sårbarhet i Microsofts Azure App Service. Sårbarheten avslører hundrevis av kildekodelager. Microsoft har siden lappet lekkasjen.
Wiz oppdaget den såkalte NotLegit-sårbarheten i Azure App Service. Tjenesten, også kjent som Azure Web Apps, er en plattform for hosting av nettsteder og nettbaserte applikasjoner. Kildekode og artefakter kan lastes opp til Azure App Service ved å bruke Local Git-verktøyet. Brukere kan sette opp et lokalt Git-lager med Azure App Service-beholderen og skyve koden direkte til serveren.
Ifølge forskerne er det nettopp her sårbarheten ligger. Når du bruker Local Git til å rulle ut koden til Azure App Service, ble git-depotet satt opp med en offentlig tilgjengelig katalog som alle kan få tilgang til.
Flere kodespråk er berørt
Spesielt kildekode skrevet i PHP, Python, Ruby eller Node er sårbar. Dette er delvis fordi disse kodespråkene ofte bruker webservere som Apache, Nginx og Flask. Disse webserverne kan ikke håndtere web.config-filer. Dette gir offentlig tilgang til nevnte kildekodelagre.
Kjent for Microsoft
Sikkerhetsspesialistene hos Wiz informerte Microsoft om sårbarheten allerede i begynnelsen av oktober i år. Microsoft har siden stengt den. Uansett oppfordrer ekspertene brukerne til å sjekke om kildekoden deres er avslørt og å iverksette tiltak for applikasjonene deres.