O especialista em segurança Wiz alerta para uma vulnerabilidade no Azure App Service da Microsoft. A vulnerabilidade expõe centenas de repositórios de código-fonte. Desde então, a Microsoft corrigiu o vazamento.
Wiz descobriu a chamada vulnerabilidade NotLegit no Azure App Service. O serviço, também conhecido como Azure Web Apps, é uma plataforma para hospedagem de sites e aplicativos baseados na web. O código-fonte e os artefatos podem ser carregados no Serviço de Aplicativo do Azure usando a ferramenta Git Local. Os usuários podem configurar um repositório Git Local com o contêiner do Serviço de Aplicativo do Azure e enviar o código diretamente para o servidor.
Segundo os pesquisadores, é exatamente aí que está a vulnerabilidade. Ao usar o Git Local para distribuir o código para o Serviço de Aplicativo do Azure, o repositório git foi configurado com um diretório acessível publicamente que todos podem acessar.
Várias linguagens de código afetadas
Especialmente o código-fonte escrito em PHP, Python, Ruby ou Node é vulnerável. Isso ocorre em parte porque essas linguagens de código costumam usar servidores web como Apache, Nginx e Flask. Esses servidores web não podem manipular arquivos web.config. Isso permite o acesso público aos referidos repositórios de código-fonte.
Conhecido pela Microsoft
Os especialistas em segurança da Wiz já informaram a Microsoft sobre a vulnerabilidade no início de outubro deste ano. A Microsoft já o fechou. De qualquer forma, os especialistas pedem aos usuários que verifiquem se seu código-fonte foi revelado e tomem medidas para seus aplicativos.