Spesialis kaamanan Wiz ngingetkeun ngeunaan kerentanan dina Layanan Aplikasi Azure Microsoft. Kerentanan nembongkeun ratusan repositori kode sumber. Microsoft parantos nambal bocorna.
Wiz mendakan anu disebut kerentanan NotLegit dina Azure App Service. Ladenan, ogé katelah Azure Web Apps, mangrupikeun platform pikeun hosting situs wéb sareng aplikasi basis wéb. Kode sumber sareng artefak tiasa diunggah ka Azure App Service nganggo alat Git Lokal. Pamaké tiasa nyetél gudang Git Lokal sareng wadahna Azure App Service sareng nyorong kodeu langsung ka server.
Numutkeun peneliti, ieu persis dimana kerentanan perenahna. Nalika nganggo Local Git pikeun ngagulung kodeu ka Azure App Service, gudang git disetél sareng diréktori anu tiasa diaksés sacara umum anu tiasa diaksés ku sadayana.
Sababaraha basa kode kapangaruhan
Utamana kode sumber anu ditulis dina PHP, Python, Ruby atanapi Node rentan. Ieu sabagean kusabab basa kode ieu sering nganggo pangladén wéb sapertos Apache, Nginx sareng Flask. Pangladén wéb ieu teu tiasa ngadamel file web.config. Hal ieu ngamungkinkeun aksés umum kana repositories kode sumber.
Dipikawanoh ku Microsoft
Spesialis kaamanan di Wiz parantos ngawartosan Microsoft ngeunaan kerentanan dina awal Oktober taun ieu. Microsoft parantos nutup éta. Dina naon waé, para ahli ngadesek pangguna pikeun pariksa naha kode sumberna parantos diungkabkeun sareng nyandak tindakan pikeun aplikasina.