NotLegit : une vulnérabilité dans Azure App Service qui a exposé des centaines de référentiels de code source

Par:
fredericmazue

mer, 12/01/2022 - 11:26

L'équipe de recherche Wiz a détecté un comportement par défaut non sécurisé dans Azure App Service qui exposait le code source des applications client écrites en PHP, Python, Ruby ou Node, qui étaient déployées à l'aide de « Local Git ».

Pour mémoire, Azure prend en charge plusieurs méthodes pour déployer le code source et les artefacts sur le service Azure App, dont l'une utilise « Local Git ». Avec « Local Git », vous initiez un référentiel Git local dans le conteneur Azure App Service qui vous permet de pousser votre code directement vers le serveur.

Les chercheurs ont baptisé cette vulnérabilité NotLegit et souligne qu'elle existe depuis septembre 2017. Elle a probablement été massivement exploitée, soulignent-ils.

Wiz a signalé cette faille de sécurité à Microsoft le 7 octobre 2021. Microsoft a réagi et cette faille est maintenant atténuée.

Tous les détails techniques relatifs à cette vulnérabilité sont à lire dans ce billet sur le blog de Wiz.