Исследователи кибербезопасности из Defense.com объявили, что обнаружили уязвимость в инструменте с открытым исходным кодом Git, который может позволить злоумышленникам украсть всю их кодовую базу, историю и предыдущие изменения кода. В отчете говорится, что существует 332 000 веб-сайтов, в том числе 2500, принадлежащих государственным доменам Великобритании, которые не смогли защитить папку .git, созданную с помощью этого инструмента. Самой популярной платформой для размещения проекта Git является GitHub , насчитывающий более 83 миллионов участников.
Включая государственные домены Великобритании
Согласно отчету, веб-сайты, которые оставляют папку .git открытой и доступной для общедоступной сети, уязвимы для использования злоумышленниками, подвергая себя высокому уровню риска, и многие организации не знают об этой проблеме. Хотя руководители проектов Git устраняют недостатки безопасности с помощью обновлений, исследователи утверждают, что это зависит от того, как организации используют эти инструменты.
Эти папки в основном содержат всю историю кодовой базы, предыдущие изменения кода, комментарии, ключи безопасности и конфиденциальные удаленные пути, содержащие секреты и файлы с открытыми паролями. Злоумышленники также могут найти уязвимости, просмотрев код, который может заставить злоумышленников выполнять более серьезные атаки.
В отчете также говорится, что эту проблему легко исправить. Удаление .git из процесса развертывания и добавление фильтров в конфигурацию по умолчанию для блокировки доступа к конфиденциальным каталогам может устранить риск. Оливер Пинсон-Роксбург, генеральный директор Defense.com, сказал:
«Технологии с открытым исходным кодом всегда имеют потенциал для уязвимостей безопасности, поскольку их искодный код общедоступен. Однако такой уровень уязвимости неприемлем. Организации, в том числе правительство Великобритании, должны следить за своими системами и принимать незамедлительные меры для устранения рисков. Хотя верно то, что некоторые папки намеренно оставлены доступными, подавляющее большинство не будет знать об угрозе, с которой они сталкиваются. »