Specjalista ds. bezpieczeństwa Wiz ostrzega przed luką w Azure App Service firmy Microsoft. Luka ujawnia setki repozytoriów kodu źródłowego. Microsoft od tego czasu załatał wyciek.
Wiz odkrył tak zwaną lukę NotLegit w Azure App Service. Usługa, znana również jako Azure Web Apps, to platforma do hostowania witryn i aplikacji internetowych. Kod źródłowy i artefakty można przekazać do usługi Azure App Service za pomocą narzędzia Local Git. Użytkownicy mogą skonfigurować lokalne repozytorium Git z kontenerem usługi Azure App Service i wypchnąć kod bezpośrednio na serwer.
Zdaniem naukowców właśnie w tym tkwi luka. Podczas korzystania z usługi Local Git do wdrażania kodu w usłudze Azure App Service repozytorium git zostało skonfigurowane z publicznie dostępnym katalogiem, do którego każdy może uzyskać dostęp.
Dotyczy kilku języków kodu
Szczególnie podatny jest kod źródłowy napisany w PHP, Python, Ruby lub Node. Dzieje się tak częściowo dlatego, że te języki kodu często wykorzystują serwery internetowe, takie jak Apache, Nginx i Flask. Te serwery internetowe nie obsługują plików web.config. Umożliwia to publiczny dostęp do wspomnianych repozytoriów kodu źródłowego.
Znane Microsoft
Specjaliści ds. bezpieczeństwa z Wiz poinformowali Microsoft o luce już na początku października tego roku. Microsoft od tego czasu go zamknął. W każdym razie eksperci zachęcają użytkowników do sprawdzenia, czy ich kod źródłowy został ujawniony i podjęcia działań w stosunku do swoich aplikacji.