Threats

Vulnerabilidade no Azure pode expor palavras-passe e tokens de acesso

Uma vulnerabilidade já com quatro anos no Microsoft Azure App Service pode revelar o código fonte das aplicações web, assim como as passwords e os tokens de acesso

29/12/2021

Vulnerabilidade no Azure pode expor palavras-passe e tokens de acesso

O Microsoft Azure App Service tem uma vulnerabilidade – que existe desde setembro de 2017 – que pode revelar o código fontes de aplicações web escritas em PHP, Python, Ruby or Node. É quase certo que o bug já foi explorado.

O Azure App Service é uma plataforma baseada na cloud para alojar sites e aplicações web. O Local Git permite aos developers iniciar um repositório local Git dentro do container Azure App Service para implementar código diretamente nos servidores. Depois de implementado, a aplicação está acessível para todos na Internet.

Segundo uma análise da empresa Wiz, o problema surge quando se usa o Local Git, uma vez que a pasta Git é também ela carregada e publicamente acessível em sistemas sem patches e onde qualquer um pode aceder.

A Wiz afirma que há a possibilidade “de a fonte conter segredos como passwords e tokens de acesso” e que, quando se descobre códigos fontes deste género, estes são utilizados “para atacas sofisticados, na recolha de informação sobre a divisão de R&D, aprender a infraestrutura interna e encontrar vulnerabilidades de software”.

Microsoft Azure Vulnerabilidade