Vulnerabilidade NotLegit O Serviço de Aplicativo do Azure torna o código-fonte público

O especialista em segurança Wiz alerta para uma vulnerabilidade no Azure App Service da Microsoft. A vulnerabilidade expõe centenas de repositórios de código-fonte. Desde então, a Microsoft corrigiu o vazamento.

Wiz descobriu a chamada vulnerabilidade NotLegit no Azure App Service. O serviço, também conhecido como Azure Web Apps, é uma plataforma para hospedagem de sites e aplicativos baseados na web. O código-fonte e os artefatos podem ser carregados no Serviço de Aplicativo do Azure usando a ferramenta Git Local. Os usuários podem configurar um repositório Git Local com o contêiner do Serviço de Aplicativo do Azure e enviar o código diretamente para o servidor.

Segundo os pesquisadores, é exatamente aí que está a vulnerabilidade. Ao usar o Git Local para distribuir o código para o Serviço de Aplicativo do Azure, o repositório git foi configurado com um diretório acessível publicamente que todos podem acessar.

Várias linguagens de código afetadas

Especialmente o código-fonte escrito em PHP, Python, Ruby ou Node é vulnerável. Isso ocorre em parte porque essas linguagens de código costumam usar servidores web como Apache, Nginx e Flask. Esses servidores web não podem manipular arquivos web.config. Isso permite o acesso público aos referidos repositórios de código-fonte.

Conhecido pela Microsoft

Os especialistas em segurança da Wiz já informaram a Microsoft sobre a vulnerabilidade no início de outubro deste ano. A Microsoft já o fechou. De qualquer forma, os especialistas pedem aos usuários que verifiquem se seu código-fonte foi revelado e tomem medidas para seus aplicativos.