Securityspecialist Wiz waarschuwt voor een kwetsbaarheid in Azure App Service van Microsoft. De kwetsbaarheid maakt honderden repositories met broncode openbaar. Microsoft heeft het lek inmiddels gedicht.

Wiz ontdekte de zogenoemde NotLegit-kwetsbaarheid in Azure App Service. De dienst, ook bekend als Azure Web Apps, is een platform voor het hosten van websites en webgebaseerde applicaties. Broncode en artifacts kunnen naar Azure App Service worden geüpload met de tool Local Git. Gebruikers kunnen een Local Git repository met de Azure App Service container opzetten en de code rechtstreeks naar de server pushen.

Juist hier zit volgens de onderzoekers de kwetsbaarheid. Wanneer Local Git wordt gebruikt, voor het uitrollen van de code naar de Azure App Service, werd de git repository opgezet met een publieke toegankelijke directory die voor iedereen toegankelijk is.

Verschillende codetalen getroffen

Vooral broncode geschreven in PHP, Python, Ruby of Node is kwetsbaar. Dit komt onder meer doordat deze codetalen vaak websevers als Apache, Nginx en Flask gebruiken. Deze webservers kinnen geen web.config bestanden afhandelen. Dit maakt publieke toegang tot de genoemde broncode repositories mogelijk.

Bekend bij Microsoft

De securityspecialisten van Wiz hebben Microsoft begin oktober van dit jaar al op de hoogte gebracht van de kwetsbaarheid. Microsoft heeft het inmiddels gedicht. In ieder geval roepen de experts gebruikers op te checken of hun broncode toch is geopenbaard en voor hun applicaties actie ondernemen.