Vulnerabilidade NotLegit O Serviço de Aplicativo do Azure torna o código-fonte público

O especialista em segurança Wiz alerta sobre uma vulnerabilidade no Azure App Service da Microsoft. A vulnerabilidade expõe centenas de repositórios de código-fonte. A Microsoft já corrigiu o vazamento.

Wiz descobriu a chamada vulnerabilidade NotLegit no Serviço de Aplicativo do Azure. O serviço, também conhecido como Azure Web Apps, é uma plataforma para hospedagem de sites e aplicativos baseados na web. O código-fonte e os artefatos podem ser carregados no Serviço de Aplicativo do Azure usando a ferramenta Git Local. Os usuários podem configurar um repositório Git Local com o contêiner do Serviço de Aplicativo do Azure e enviar o código diretamente para o servidor.

De acordo com os pesquisadores, é precisamente aqui que reside a vulnerabilidade. Ao usar o Git Local para implementar o código no Serviço de Aplicativo do Azure, o repositório git foi configurado com um diretório acessível publicamente que todos podem acessar.

Várias linguagens de código afetadas

Principalmente código-fonte escrito em PHP, Pitão, Ruby ou Node é vulnerável. Em parte, isso ocorre porque essas linguagens de código costumam usar servidores web como o Apache, Nginx e Flask. Esses servidores da web não podem lidar com arquivos web.config. Isso permite o acesso público aos referidos repositórios de código-fonte.

Conhecido pela Microsoft

Os especialistas em segurança da Wiz já informaram a Microsoft sobre a vulnerabilidade no início de outubro deste ano. A Microsoft já fechou. Em todo o caso, os especialistas pedem aos usuários que verifiquem se seu código-fonte foi revelado e tomem medidas para seus aplicativos.