Chuyên gia bảo mật Wiz cảnh báo về lỗ hổng trong Dịch vụ ứng dụng Azure của Microsoft. Lỗ hổng làm lộ hàng trăm kho mã nguồn. Microsoft đã vá lỗ hổng này.
Wiz đã phát hiện ra lỗ hổng NotLegit trong Dịch vụ ứng dụng Azure. Dịch vụ này, còn được gọi là Azure Web Apps, là một nền tảng để lưu trữ các trang web và ứng dụng dựa trên web. Mã nguồn và các tạo phẩm có thể được tải lên Dịch vụ ứng dụng Azure bằng công cụ Local Git. Người dùng có thể thiết lập kho lưu trữ Local Git với bộ chứa Dịch vụ ứng dụng Azure và đẩy mã trực tiếp đến máy chủ.
Theo các nhà nghiên cứu, đây chính xác là nơi có lỗ hổng. Khi sử dụng Local Git để triển khai mã cho Dịch vụ ứng dụng Azure, kho git đã được thiết lập với một thư mục có thể truy cập công khai mà mọi người đều có thể truy cập.
Một số ngôn ngữ mã bị ảnh hưởng
Đặc biệt mã nguồn viết bằng PHP, Python, Ruby hoặc Node rất dễ bị tấn công. Điều này một phần là do các ngôn ngữ mã này thường sử dụng các máy chủ web như Apache, Nginx và Flask. Các máy chủ web này không thể xử lý các tệp web.config. Điều này cho phép công chúng truy cập vào kho lưu trữ mã nguồn nói trên.
Được biết đến với Microsoft
Các chuyên gia bảo mật tại Wiz đã thông báo cho Microsoft về lỗ hổng này vào đầu tháng 10 năm nay. Microsoft đã đóng cửa nó. Trong mọi trường hợp, các chuyên gia kêu gọi người dùng kiểm tra xem mã nguồn của họ có bị tiết lộ hay không và có hành động đối với ứng dụng của họ.