von Redaktion IT-A…
Lesezeit
1 Minute
Offene Git-Verzeichnisse gefährden zahlreiche Webseiten
Die Deutsche Gesellschaft für Cybersicherheit hat aufgedeckt, dass zahlreiche Webseiten von einer seit 2015 bekannten Schwachstelle betroffen sind: offen zugängliche Git-Verzeichnisse, die es Angreifern leicht machen, sich an sensiblen Informationen zu bereichern, für die es jedoch leicht umzusetzende Gegenmaßnahmen gibt.
Im Jahr 2015 entlarvte die Internetwache, dass zahlreiche bekannte Webseiten den Zugriff auf ihren Git-Ordner nicht blockieren [1]. In diesen speichert das beliebte, weit verbreitete Open-Source-Versionierungstool Git sämtliche Änderungen an Dateien des jeweiligen Projekts. Der Ordner kann dadurch unterschiedliche sensible Informationen enthalten wie Quellcodes, Datenbanken, Serverinhalte, Logs sowie diverse Passwörter und Zugänge.
Im Fall ungesicherter Git-Ordner können potenzielle Angreifer daher leicht diese sensiblen Informationen abgreifen. Obwohl diese Schwachstelle bekannt ist und sich diese Fehlkonfiguration leicht unterbinden lässt, ermittelte ein aktuell von der Deutschen Gesellschaft für Cybersicherheit durchgeführter Massen-Scan deutscher Webseiten nach dieser Schwachstelle einem aufrüttelndes Ergebnis: Von knapp sieben Millionen getesteten Webseiten waren fast 25.000 Domains und über 40.000 Subdomains von diesem Sicherheitsrisiko betroffen [2]. Erschwerend komme hinzu, dass Cyberkriminelle längst Tools entwickelt haben, um Webseiten automatisiert nach dieser bekannten Sicherheitslücke zu durchforsten und offene Verzeichnisse herunterzuladen.
Als Gegenmaßnahmen empfiehlt die Firma für Cybersicherheit Betreibern, zunächst herauszufinden, ob Ihre Webseite betroffen ist. Dazu gilt es, die Domain in die Adresszeile einzusetzen und dahinter den Pfad einzugeben, um das Git-Verzeichnis aufzurufen: zum Beispiel "https://www.Meine-Domain.de/.git/HEAD". Ist das Ergebnis eine Fehlermeldung, ist der Pfad ins Git-Verzeichnis entweder nicht existent oder korrekt abgesichert. Erscheint hingegen eine Meldung wie "ref: refs/heads/master", ist die Webseite von der Sicherheitslücke betroffen.
Das Schließen der Lücke ist glücklicherweise weder schwer noch aufwändig. Die Security-Experten raten zunächst, zu überprüfen, ob das Vorhandensein des Git-Verzeichnisses auf dem Webserver für die Funktion der Webseite wirklich erforderlich ist. Falls nicht, sollten Betroffene das Verzeichnis komplett auf Ihrem Webserver, und nur dort, entfernen. Falls doch, erläutert die Deutsche Gesellschaft für Cybersicherheit in einem Blog-Beitrag für verschiedene aktuelle Webserver jeweilige Lösungwege [3].
mh
Im Fall ungesicherter Git-Ordner können potenzielle Angreifer daher leicht diese sensiblen Informationen abgreifen. Obwohl diese Schwachstelle bekannt ist und sich diese Fehlkonfiguration leicht unterbinden lässt, ermittelte ein aktuell von der Deutschen Gesellschaft für Cybersicherheit durchgeführter Massen-Scan deutscher Webseiten nach dieser Schwachstelle einem aufrüttelndes Ergebnis: Von knapp sieben Millionen getesteten Webseiten waren fast 25.000 Domains und über 40.000 Subdomains von diesem Sicherheitsrisiko betroffen [2]. Erschwerend komme hinzu, dass Cyberkriminelle längst Tools entwickelt haben, um Webseiten automatisiert nach dieser bekannten Sicherheitslücke zu durchforsten und offene Verzeichnisse herunterzuladen.
Als Gegenmaßnahmen empfiehlt die Firma für Cybersicherheit Betreibern, zunächst herauszufinden, ob Ihre Webseite betroffen ist. Dazu gilt es, die Domain in die Adresszeile einzusetzen und dahinter den Pfad einzugeben, um das Git-Verzeichnis aufzurufen: zum Beispiel "https://www.Meine-Domain.de/.git/HEAD". Ist das Ergebnis eine Fehlermeldung, ist der Pfad ins Git-Verzeichnis entweder nicht existent oder korrekt abgesichert. Erscheint hingegen eine Meldung wie "ref: refs/heads/master", ist die Webseite von der Sicherheitslücke betroffen.
Das Schließen der Lücke ist glücklicherweise weder schwer noch aufwändig. Die Security-Experten raten zunächst, zu überprüfen, ob das Vorhandensein des Git-Verzeichnisses auf dem Webserver für die Funktion der Webseite wirklich erforderlich ist. Falls nicht, sollten Betroffene das Verzeichnis komplett auf Ihrem Webserver, und nur dort, entfernen. Falls doch, erläutert die Deutsche Gesellschaft für Cybersicherheit in einem Blog-Beitrag für verschiedene aktuelle Webserver jeweilige Lösungwege [3].
mh
