NotLegit Ranljivost Azure App Service naredi izvorno kodo javno

Varnostni strokovnjak Wiz opozarja na ranljivost v Microsoftovi storitvi Azure App Service. Ranljivost izpostavlja na stotine repozitorijev izvorne kode. Microsoft je od takrat popravil puščanje.

Wiz je v storitvi Azure App Service odkril tako imenovano ranljivost NotLegit. Storitev, znana tudi kot spletne aplikacije Azure, je platforma za gostovanje spletnih mest in spletnih aplikacij. Izvorno kodo in artefakte je mogoče naložiti v storitev Azure App Service z orodjem Local Git. Uporabniki lahko nastavijo lokalni repozitorij Git z vsebnikom storitve Azure App Service in potisnejo kodo neposredno v strežnik.

Po mnenju raziskovalcev je ravno v tem ranljivost. Ko uporabljate lokalni Git za uvajanje kode v storitev Azure App Service, je bil repozitorij git nastavljen z javno dostopnim imenikom, do katerega lahko dostopajo vsi.

Prizadetih je več kodnih jezikov

Še posebej ranljiva je izvorna koda, napisana v PHP, Python, Ruby ali Node. To je deloma zato, ker ti kodni jeziki pogosto uporabljajo spletne strežnike, kot so Apache, Nginx in Flask. Ti spletni strežniki ne morejo obravnavati datotek web.config. To omogoča javni dostop do omenjenih repozitorijev izvorne kode.

Poznano pri Microsoftu

Varnostni strokovnjaki pri Wizu so že v začetku oktobra letos obvestili Microsoft o ranljivosti. Microsoft ga je od takrat zaprl. Vsekakor pa strokovnjaki pozivajo uporabnike, naj preverijo, ali je bila njihova izvorna koda razkrita, in ukrepajo za svoje aplikacije.