Meldung

Offene Git-Verzeichnisse gefährden zahlreiche Webseiten

Die Deutsche Gesellschaft für Cybersicherheit hat aufgedeckt, dass zahlreiche Webseiten von einer seit 2015 bekannten Schwachstelle betroffen sind: offen zugängliche Git-Verzeichnisse, die es Angreifern leicht machen, sich an sensiblen Informationen zu bereichern, für die es jedoch leicht umzusetzende Gegenmaßnahmen gibt.
Webseiten, die den Zugriff auf ihren Git-Ordner nicht blockieren, öffnen ein Einfallstor für Angreifer.
Im Jahr 2015 entlarvte die Internetwache, dass zahlreiche bekannte Webseiten den Zugriff auf ihren Git-Ordner nicht blockieren [1]. In diesen speichert das beliebte, weit verbreitete Open-Source-Versionierungstool Git sämtliche Änderungen an Dateien des jeweiligen Projekts. Der Ordner kann dadurch unterschiedliche sensible Informationen enthalten wie Quellcodes, Datenbanken, Serverinhalte, Logs sowie diverse Passwörter und Zugänge.

Im Fall ungesicherter Git-Ordner können potenzielle Angreifer daher leicht diese sensiblen Informationen abgreifen. Obwohl diese Schwachstelle bekannt ist und sich diese Fehlkonfiguration leicht unterbinden lässt, ermittelte ein aktuell von der Deutschen Gesellschaft für Cybersicherheit durchgeführter Massen-Scan deutscher Webseiten nach dieser Schwachstelle einem aufrüttelndes Ergebnis: Von knapp sieben Millionen getesteten Webseiten waren fast 25.000 Domains und über 40.000 Subdomains von diesem Sicherheitsrisiko betroffen [2]. Erschwerend komme hinzu, dass Cyberkriminelle längst Tools entwickelt haben, um Webseiten automatisiert nach dieser bekannten Sicherheitslücke zu durchforsten und offene Verzeichnisse herunterzuladen.

Als Gegenmaßnahmen empfiehlt die Firma für Cybersicherheit Betreibern, zunächst herauszufinden, ob Ihre Webseite betroffen ist. Dazu gilt es, die Domain in die Adresszeile einzusetzen und dahinter den Pfad einzugeben, um das Git-Verzeichnis aufzurufen: zum Beispiel "https://www.Meine-Domain.de/.git/HEAD". Ist das Ergebnis eine Fehlermeldung, ist der Pfad ins Git-Verzeichnis entweder nicht existent oder korrekt abgesichert. Erscheint hingegen eine Meldung wie "ref: refs/heads/master", ist die Webseite von der Sicherheitslücke betroffen.

Das Schließen der Lücke ist glücklicherweise weder schwer noch aufwändig. Die Security-Experten raten zunächst, zu überprüfen, ob das Vorhandensein des Git-Verzeichnisses auf dem Webserver für die Funktion der Webseite wirklich erforderlich ist. Falls nicht, sollten Betroffene das Verzeichnis komplett auf Ihrem Webserver, und nur dort, entfernen. Falls doch, erläutert die Deutsche Gesellschaft für Cybersicherheit in einem Blog-Beitrag für verschiedene aktuelle Webserver jeweilige Lösungwege [3].
10.07.2020/mh

Tipps & Tools

HVI als Open Source erhältlich [14.08.2020]

Bitdefender hat sein Endpunkt-Sicherheitssystem "Hypervisor Introspection" als Open Source verfügbar gemacht. Die Technologie sucht nach Angriffsverfahren wie Pufferüberläufen, Heap-Spray und Code-Injektion, um schädliche Aktivitäten zu erkennen und zu unterbinden. Die Firma hat den Code als Teil des Xen Project unter der Lizenz Apache 2.0 veröffentlicht. [mehr]

Sicherheitslücke in GRUB2 entdeckt [4.08.2020]

Eclypsium-Forscher haben eine Schwachstelle namens "BootHole" im GRUB2-Bootloader entdeckt. Durch die Sicherheitslücke könne ein Angreifer den UEFI Secure Boot umgehen und eigenen Code ausführen, um Kontrolle über ein Gerät zu erhalten. Fast alle signierten Versionen von GRUB2 seien anfällig, was bedeutet, dass praktisch jede Linux-Distribution betroffen ist. [mehr]

Fachartikel

Führungskräfte für IT-Sicherheit sensibilisieren (2) [10.08.2020]

Zuletzt gaben 29 Prozent der Unternehmen an, in den letzten zwei Jahren Opfer von Angriffen auf ihre IT gewesen zu sein. Zwar reagieren Unternehmen zunehmend mit Firewalls und Co. auf die Bedrohungslage, insgesamt steht es mit der Abwehrbereitschaft aber noch immer nicht zum Besten. Einer der Gründe dafür ist die mangelnde Sensibilität auf C-Level-Ebene. Schließlich nützt es nur wenig, wenn die IT-Abteilung zwar eine realistische Einschätzung der tatsächlichen Bedrohungslage hat, die Führungsebene aber nicht die erforderlichen Ressourcen bereitstellt, um diesen Problemen zu begegnen. Die Artikelserie beschreibt daher Methoden zur Sensibilisierung von Führungskräften. In der zweiten Folge geht es darum, wie Sie WLAN-Schwachstellen aufspüren und demonstrieren. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen