安全专家 Wiz 就微软 Azure 应用服务中的一个漏洞发出警告。 该漏洞暴露了数百个源代码存储库。 微软已经修补了这个漏洞。
Wiz 在 Azure App Service 中发现了所谓的 NotLegit 漏洞。 该服务也称为 Azure Web Apps,是一个用于托管网站和基于 Web 的应用程序的平台。 可以使用本地 Git 工具将源代码和工件上传到 Azure 应用服务。 用户可以使用 Azure App Service 容器设置本地 Git 存储库,并将代码直接推送到服务器。
据研究人员称,这正是漏洞所在。 使用 Local Git 将代码部署到 Azure 应用服务时,git 存储库设置了一个每个人都可以访问的可公开访问的目录。
受影响的几种代码语言
尤其是用 PHP、Python、Ruby 或 Node 编写的源代码很容易受到攻击。 这部分是因为这些代码语言经常使用 Apache、Nginx 和 Flask 等 Web 服务器。 这些 Web 服务器无法处理 web.config 文件。 这允许公众访问所述源代码存储库。
为微软所知
Wiz 的安全专家已经在今年 XNUMX 月初通知了微软该漏洞。 微软已经关闭了它。 无论如何,专家们都敦促用户检查他们的源代码是否已被泄露,并对他们的应用程序采取行动。