Исследователь обнаружил лежащие в открытом виде git-репозитории на 390 тысячах сайтов

Исследователь кибербезопасности Владимир Смитка рассказал в своем блоге о каталогах .git, лежащих в открытом доступе на различных чешских сайтах, которых оказалось в общей сложности 390 тысяч. По его словам, причина раскрытия содержимого репозиториев — халатность разработчиков, которые не пользуются лучшими практиками по организации данных.

Подробнее о находке

В ходе сканирования доменов ИБ-специалист на протяжении 4 недель анализировал около 320 млн сайтов, из которых 390 тысяч оказались уязвимыми к краже информации в каталогах .git. Репозитории содержали настройки, исходные тексты всех серверных обработчиков, ключи доступа к БД, облачным хранилищам и API, которые могли использоваться злоумышленниками для несанкционированного доступа к сайтам.

Поскольку структура git-каталогов известна, то просканировать все находящиеся в них файлы можно путем перебора всех папок, не имея списка содержимого. В некоторых случаях обращение к .git выдавало ошибку HTTP 403, которая была вызвана отсутствием файлов index.html или index.php, однако при прямом доступе к документам проблем не возникало.

По окончании исследования Владимир Смитка отправил всем владельцам сайтов письма по адресам, найденным в файле /.git/logs/HEAD. Всего он получил 290 000 адресов электронной почты, 90 000 из которых были уникальными, а 18 000 оказались уже не действующими. После рассылки специалист получил 2000 писем с благодарностями, 30 сообщений о ложных результатах исследования, 2 обвинения в мошенничестве и одну угрозу жалобы в полицию.

Статистика уязвимых сайтов

Кроме того, исследователь решил проанализировать содержимое git-репозиториев и обнаружил, что среди ЯП лидирующим является PHP — на нем написано 96 % сайтов (186 205 из выборки в 194 000). По 1 % приходится на Node.js (2394), Java (1742), Ruby (1199) и Python (1499), в то время как код на Perl был найден всего в 504 случаях.

Среди ОС, на которых располагаются сайты, результаты такие:

1. 42 604 — Ubuntu.
2. 12 906 — Debian.
3. 9350 — CentOS.
4. 3204 — Windows Server.
5. 378 — Red Hat.

Первое место среди систем управления контентом занял WordPress с 41139 сайтами, оставив далеко позади Drupal (2256) и Joomla (1615).

Напомним, что в мае 2018 года в Git исправили две уязвимости, позволяющие удаленный запуск кода. Они эксплуатировали бреши в файловых хранилищах и для работы требовали загрузки на устройство зараженного репозитория.