Špecialista na bezpečnosť Wiz varuje pred zraniteľnosťou v službe Azure App Service od spoločnosti Microsoft. Zraniteľnosť odhaľuje stovky úložísk zdrojového kódu. Microsoft odvtedy únik opravil.
Wiz objavil takzvanú zraniteľnosť NotLegit v službe Azure App Service. Služba, známa aj ako Azure Web Apps, je platforma na hosťovanie webových stránok a webových aplikácií. Zdrojový kód a artefakty je možné nahrať do služby Azure App Service pomocou nástroja Local Git. Používatelia si môžu nastaviť miestne úložisko Git pomocou kontajnera Azure App Service a poslať kód priamo na server.
Podľa výskumníkov je to práve miesto, kde je zraniteľnosť. Pri použití Local Git na zavedenie kódu do Azure App Service bolo úložisko git nastavené s verejne prístupným adresárom, ku ktorému má prístup každý.
Ovplyvnených je niekoľko kódovacích jazykov
Zraniteľný je najmä zdrojový kód napísaný v PHP, Pythone, Ruby alebo Node. Je to čiastočne preto, že tieto kódové jazyky často používajú webové servery, ako sú Apache, Nginx a Flask. Tieto webové servery nedokážu spracovať súbory web.config. To umožňuje verejný prístup k uvedeným úložiskám zdrojového kódu.
Známe spoločnosti Microsoft
Bezpečnostní špecialisti z Wiz informovali Microsoft o zraniteľnosti už začiatkom októbra tohto roku. Microsoft to odvtedy uzavrel. V každom prípade odborníci vyzývajú používateľov, aby skontrolovali, či bol odhalený ich zdrojový kód, a aby prijali opatrenia pre svoje aplikácie.