Ginagawang Pampubliko ng NotLegit Vulnerability Azure App Service ang Source Code

Nagbabala ang espesyalista sa seguridad na si Wiz tungkol sa isang kahinaan sa Azure App Service ng Microsoft. Ang kahinaan ay naglalantad ng daan-daang mga repositoryo ng source code. Mula noon ay na-patch na ng Microsoft ang pagtagas.

Natuklasan ni Wiz ang tinatawag na NotLegit na kahinaan sa Azure App Service. Ang serbisyo, na kilala rin bilang Azure Web Apps, ay isang platform para sa pagho-host ng mga website at mga web-based na application. Maaaring i-upload ang source code at artifact sa Azure App Service gamit ang Local Git tool. Maaaring mag-set up ang mga user ng Local Git repository gamit ang Azure App Service container at direktang itulak ang code sa server.

Ayon sa mga mananaliksik, ito ay tiyak kung saan ang kahinaan ay namamalagi. Kapag gumagamit ng Local Git para ilunsad ang code sa Azure App Service, ang git repository ay na-set up gamit ang isang pampublikong direktoryo na maa-access ng lahat.

Ilang code language ang apektado

Lalo na ang source code na nakasulat sa PHP, Python, Ruby o Node ay mahina. Ito ay bahagyang dahil ang mga wikang code na ito ay madalas na gumagamit ng mga web server tulad ng Apache, Nginx at Flask. Hindi kayang pangasiwaan ng mga web server na ito ang mga web.config file. Nagbibigay-daan ito sa pampublikong pag-access sa nasabing mga repositoryo ng source code.

Kilala sa Microsoft

Ipinaalam na ng mga espesyalista sa seguridad sa Wiz ang Microsoft ng kahinaan sa simula ng Oktubre ngayong taon. Isinara na ito ng Microsoft. Sa anumang kaso, hinihimok ng mga eksperto ang mga user na suriin kung ang kanilang source code ay naihayag at gumawa ng aksyon para sa kanilang mga aplikasyon.