Wizは12月21日(米国時間)、「NotLegit: Azure App Service vulnerability exposed hundreds of source code repositories|Wiz Blog」において、Azure App Serviceで使われていたソースコードリポジトリの一部が、少なくとも2017年9月以降、外部からアクセスできる状態になっていたと伝えた。ほぼ4年間にわたってソースコードにアクセスできる状態になっていたことになる。

  • NotLegit: Azure App Service vulnerability exposed hundreds of source code repositories|Wiz Blog

    NotLegit: Azure App Service vulnerability exposed hundreds of source code repositories | Wiz Blog

影響を受けるとされるユーザーは次のとおり。

  • 2017年9月以降にAzure App Serviceのクリーンデフォルトアプリケーションにおいて「Local Git」を使用してデプロイされたすべてのPHP、Node、Ruby、Pythonアプリケーション
  • 2017年9月以降にGitソースを使用してAzure App ServiceにデプロイされたすべてのPHP、Node、Ruby、Pythonアプリケーションにおいて、アプリケーションコンテナ内にファイルを作成したあとに変更またはデプロイされたもの

Wizは10月7日(米国時間)にこの脆弱性をMicrosoftへ報告しており、Microsoftはその概要を「Azure App Service Linux source repository exposure – Microsoft Security Response Center」において伝えている。Microsoftはすでに複数のEメールアラートにおいてこの問題を伝えており、該当するユーザーは早急に対応を行うことが望まれている。