Wiz ผู้เชี่ยวชาญด้านความปลอดภัยเตือนถึงช่องโหว่ใน Azure App Service ของ Microsoft ช่องโหว่นี้เปิดเผยที่เก็บซอร์สโค้ดหลายร้อยแห่ง Microsoft ได้แก้ไขการรั่วไหลตั้งแต่นั้นมา
Wiz ค้นพบช่องโหว่ที่เรียกว่า NotLegit ใน Azure App Service บริการนี้เรียกอีกอย่างว่า Azure Web Apps เป็นแพลตฟอร์มสำหรับการโฮสต์เว็บไซต์และแอปพลิเคชันบนเว็บ ซอร์สโค้ดและอาร์ติแฟกต์สามารถอัปโหลดไปยัง Azure App Service โดยใช้เครื่องมือ Local Git ผู้ใช้สามารถตั้งค่าที่เก็บ Local Git ด้วยคอนเทนเนอร์ Azure App Service และพุชรหัสไปยังเซิร์ฟเวอร์โดยตรง
นักวิจัยระบุว่าจุดอ่อนอยู่ที่จุดอ่อนโดยตรง เมื่อใช้ Local Git เพื่อเปิดตัวโค้ดไปยัง Azure App Service ที่เก็บ git นั้นได้รับการตั้งค่าด้วยไดเร็กทอรีที่เข้าถึงได้แบบสาธารณะซึ่งทุกคนสามารถเข้าถึงได้
ภาษารหัสหลายภาษาได้รับผลกระทบ
โดยเฉพาะซอร์สโค้ดที่เขียนด้วย PHP, Python, Ruby หรือ Node มีช่องโหว่ ส่วนหนึ่งเป็นเพราะภาษาโค้ดเหล่านี้มักใช้เว็บเซิร์ฟเวอร์ เช่น Apache, Nginx และ Flask เว็บเซิร์ฟเวอร์เหล่านี้ไม่สามารถจัดการไฟล์ web.config สิ่งนี้ทำให้สาธารณชนสามารถเข้าถึงที่เก็บซอร์สโค้ดดังกล่าวได้
รู้จักกับ Microsoft
ผู้เชี่ยวชาญด้านความปลอดภัยที่ Wiz ได้แจ้งให้ Microsoft ทราบถึงช่องโหว่ดังกล่าวแล้วเมื่อต้นเดือนตุลาคมปีนี้ Microsoft ได้ปิดตัวลงตั้งแต่นั้นเป็นต้นมา ไม่ว่าในกรณีใด ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ตรวจสอบว่ามีการเปิดเผยซอร์สโค้ดของตนหรือไม่ และดำเนินการกับแอปพลิเคชันของตน