Säkerhetsspecialisten Wiz varnar för en sårbarhet i Microsofts Azure App Service. Sårbarheten avslöjar hundratals källkodsförråd. Microsoft har sedan dess åtgärdat läckan.
Wiz upptäckte den så kallade NotLegit-sårbarheten i Azure App Service. Tjänsten, även känd som Azure Web Apps, är en plattform för värd för webbplatser och webbaserade applikationer. Källkod och artefakter kan laddas upp till Azure App Service med hjälp av verktyget Local Git. Användare kan konfigurera ett lokalt Git-förråd med Azure App Service-behållaren och skicka koden direkt till servern.
Enligt forskarna är det just där sårbarheten ligger. När du använde Local Git för att rulla ut koden till Azure App Service, konfigurerades git-förvaret med en allmänt tillgänglig katalog som alla kan komma åt.
Flera kodspråk påverkas
Särskilt källkod skriven i PHP, Python, Ruby eller Node är sårbar. Detta beror delvis på att dessa kodspråk ofta använder webbservrar som Apache, Nginx och Flask. Dessa webbservrar kan inte hantera web.config-filer. Detta tillåter allmän tillgång till nämnda källkodsförråd.
Känd för Microsoft
Säkerhetsspecialisterna på Wiz informerade Microsoft om sårbarheten redan i början av oktober i år. Microsoft har sedan dess stängt den. I vilket fall som helst uppmanar experterna användarna att kontrollera om deras källkod har avslöjats och att vidta åtgärder för deras applikationer.