Güvenlik uzmanı Wiz, Microsoft'un Azure Uygulama Hizmeti'ndeki bir güvenlik açığı konusunda uyarıyor. Güvenlik açığı yüzlerce kaynak kod deposunu açığa çıkarıyor. Microsoft o zamandan beri sızıntıyı düzeltti.
Wiz, Azure App Service'te NotLegit güvenlik açığını keşfetti. Azure Web Apps olarak da bilinen hizmet, web sitelerini ve web tabanlı uygulamaları barındırmaya yönelik bir platformdur. Kaynak kodu ve yapıtlar, Yerel Git aracı kullanılarak Azure App Service'e yüklenebilir. Kullanıcılar, Azure App Service kapsayıcısıyla bir Yerel Git deposu ayarlayabilir ve kodu doğrudan sunucuya gönderebilir.
Araştırmacılara göre güvenlik açığı tam da burada yatıyor. Kodu Azure Uygulama Hizmetine dağıtmak için Yerel Git kullanıldığında, git deposu herkesin erişebileceği, genel olarak erişilebilen bir dizinle kuruldu.
Etkilenen birkaç kod dili
Özellikle PHP, Python, Ruby veya Node ile yazılmış kaynak kodları savunmasızdır. Bunun nedeni kısmen bu kod dillerinin genellikle Apache, Nginx ve Flask gibi web sunucularını kullanmasıdır. Bu web sunucuları web.config dosyalarını işleyemez. Bu, söz konusu kaynak kodu depolarına kamu erişimine izin verir.
Microsoft tarafından biliniyor
Wiz'deki güvenlik uzmanları bu yılın ekim ayının başında Microsoft'u bu güvenlik açığı konusunda bilgilendirmişti. Microsoft o zamandan beri onu kapattı. Her durumda uzmanlar, kullanıcıları kaynak kodlarının açığa çıkıp çıkmadığını kontrol etmeye ve uygulamaları için harekete geçmeye çağırıyor.