Offene git-Verzeichnisse gefährden weiterhin zahlreiche Websites

03.07.2020

Die Deutsche Gesellschaft für Cybersicherheit hat aufgedeckt, dass zahlreiche Webseiten von einer seit 2015 bekannten Schwachstelle betroffen sind: offen zugängliche Git-Verzeichnisse, die es Angreifern leicht machen, sich an sensiblen Informationen zu bereichern, für die es jedoch leicht umzusetzende Gegenmaßnahmen gibt.

Im Jahr 2015 entlarvte die Internetwache, dass zahlreiche bekannte Webseiten den Zugriff auf ihren git-Ordner nicht blockieren. In diesen speichert das beliebte, weit verbreitete Open-Source-Versionierungstool Git sämtliche Änderungen an Dateien des jeweiligen Proiektes. Der Ordner kann dadurch unterschiedliche sensible Informationen enthalten wie Quellcodes, Datenbanken, Serverinhalte, Logs sowie diverse Passwörter und Zugänge.

 

Im Fall ungesicherter git-Ordner können potenzielle Angreifer daher leicht diese sensiblen Informationen abgreifen. Obwohl diese Schwachstelle eben bekannt ist und sich diese Fehlkonfiguration leicht unterbinden lässt, ermittelte ein aktuell von der Deutschen Gesellschaft für Cybersicherheit durchgeführter Massen-Scan deutscher Webseiten nach dieser Schwachstelle einem aufrüttelndes Ergebnis: Von knapp 7 Millionen getesteten Webseiten waren fast 25.000 Domains und über 40.000 Subdomains von diesem Sicherheitsrisiko betroffen. Erschwerend komme hinzu, dass Cyberkriminielle längst Tools entwickelt haben, um Webseiten automatisiert nach dieser bekannten Sicherheitslücke zu durchforsten und offene Verzeichnisse herunterzuladen.

 

Als Gegenmaßnahmen empfiehlt die Flensburger Firma für Cybersicherheit Betreibern zunächst herauszufinden, ob Ihre Webseite betroffen ist. Dazu gilt es, zunächst die Domain in die Adresszeile einzusetzen und dahinter den Pfad einzugeben, um das .git-Verzeichnis aufzurufen (Beispiel: https://www.Meine-Domain.de/.git/HEAD). Ist das Ergebnis eine Fehlermeldung, so ist der Pfad ins .git-Verzeichnis entweder nicht existent oder korrekt abgesichert. Erscheint hingegen eine Ergebnis-Meldung wie "ref: refs/heads/master", ist die Website von der Sicherheitslücke betroffen.

 

Das Schließen der Lücke ist glücklicherweise weder schwer noch aufwändig. Die Flensburger Security-Experten raten zunächst zur Kontrolle, ob das Vorhandensein des .git-Verzeichnisses auf dem Webserver für die Funktion der Webseite wirklich erforderlich ist. Falls nicht, sollten Betroffene das Verzeichnis komplett auf Ihrem Webserver, und nur dort, entfernen. Falls doch, erläutert die Deutsche Gesellschaft für Cybersicherheit in einem Blog-Beitrag für verschiedene aktuelle Webserver jeweilige Lösungwege.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020