Specialistul în securitate Wiz avertizează despre o vulnerabilitate în Azure App Service de la Microsoft. Vulnerabilitatea expune sute de depozite de cod sursă. De atunci, Microsoft a corectat scurgerea.
Wiz a descoperit așa-numita vulnerabilitate NotLegit în Azure App Service. Serviciul, cunoscut și sub numele de Azure Web Apps, este o platformă pentru găzduirea site-urilor web și a aplicațiilor bazate pe web. Codul sursă și artefactele pot fi încărcate în Azure App Service folosind instrumentul Local Git. Utilizatorii pot configura un depozit Git local cu containerul Azure App Service și pot împinge codul direct pe server.
Potrivit cercetătorilor, tocmai aici se află vulnerabilitatea. Când utilizați Local Git pentru a lansa codul în Azure App Service, depozitul git a fost configurat cu un director accesibil public pe care îl poate accesa toată lumea.
Mai multe limbi de cod afectate
Mai ales codul sursă scris în PHP, Python, Ruby sau Node este vulnerabil. Acest lucru se datorează în parte pentru că aceste limbaje de cod folosesc adesea servere web precum Apache, Nginx și Flask. Aceste servere web nu pot gestiona fișierele web.config. Acest lucru permite accesul public la respectivele depozite de cod sursă.
Cunoscut de Microsoft
Specialiștii în securitate de la Wiz au informat deja Microsoft despre vulnerabilitate la începutul lunii octombrie a acestui an. Microsoft a închis-o de atunci. În orice caz, experții îndeamnă utilizatorii să verifice dacă codul lor sursă a fost dezvăluit și să ia măsuri pentru aplicațiile lor.