Специалист по безопасности Wiz предупреждает об уязвимости в службе приложений Microsoft Azure. Уязвимость открывает доступ к сотням репозиториев исходного кода. Microsoft уже исправила утечку.
Wiz обнаружил так называемую уязвимость NotLegit в Службе приложений Azure. Служба, также известная как Веб-приложения Azure, представляет собой платформу для размещения веб-сайтов и веб-приложений. Исходный код и артефакты можно загрузить в Службу приложений Azure с помощью инструмента Local Git. Пользователи могут настроить локальный репозиторий Git с контейнером службы приложений Azure и отправить код непосредственно на сервер.
По мнению исследователей, именно в этом и заключается уязвимость. При использовании Local Git для развертывания кода в Службе приложений Azure в репозитории git был настроен общедоступный каталог, к которому мог получить доступ каждый.
Затронуто несколько языков кода
Особенно уязвим исходный код, написанный на PHP, Python, Ruby или Node. Отчасти это связано с тем, что эти языки кода часто используют веб-серверы, такие как Apache, Nginx и Flask. Эти веб-серверы не могут обрабатывать файлы web.config. Это обеспечивает публичный доступ к указанным репозиториям исходного кода.
Известный Microsoft
Специалисты по безопасности Wiz уже проинформировали Microsoft об уязвимости в начале октября этого года. Microsoft с тех пор закрыла его. В любом случае эксперты призывают пользователей проверить, раскрыт ли их исходный код, и принять меры в отношении своих приложений.