Спеціаліст з безпеки Wiz попереджає про вразливість у службі додатків Microsoft Azure. Уразливість відкриває сотні сховищ вихідного коду. З тих пір Microsoft виправила витік.
Wiz виявив так звану вразливість NotLegit у службі додатків Azure. Служба, також відома як Azure Web Apps, є платформою для розміщення веб-сайтів і веб-додатків. Вихідний код і артефакти можна завантажити в службу додатків Azure за допомогою інструмента Local Git. Користувачі можуть налаштувати локальний репозиторій Git за допомогою контейнера служби додатків Azure і надіслати код безпосередньо на сервер.
За словами дослідників, саме в цьому криється вразливість. Коли використовувався локальний Git для розгортання коду в службі додатків Azure, репозиторій git було налаштовано з загальнодоступним каталогом, до якого можуть отримати доступ усі.
Постраждало кілька мов коду
Особливо вразливий вихідний код, написаний на PHP, Python, Ruby або Node. Частково це пояснюється тим, що ці мови коду часто використовують веб-сервери, такі як Apache, Nginx і Flask. Ці веб-сервери не можуть обробляти файли web.config. Це надає відкритий доступ до згаданих сховищ вихідного коду.
Відомий Microsoft
Фахівці з безпеки Wiz вже повідомили Microsoft про вразливість на початку жовтня цього року. З тих пір Microsoft закрила його. У будь-якому випадку експерти закликають користувачів перевірити, чи був розкритий їхній вихідний код, і вжити заходів щодо своїх програм.