Ошибка в открытом исходном коде оставляет сотни тысяч сайтов открытыми для атак

Ошибка в открытом исходном коде оставляет сотни тысяч сайтов открытыми для атак. Фото: СС0

Исследователи кибербезопасности из Defense.com обнаружили уязвимость в инструменте разработки с открытым исходным кодом Git, которая позволяет злоумышленникам получить ключи к конфиденциальной информации.

По-видимому, есть ряд папок .git, которые необходимо скрыть, но во многих случаях это не сделано. Исследователи говорят, что это серьезный недостаток, но виноваты в этом пользователи инструмента, которые не следуют принципам защиты информации. С помощью специально созданного Google dork злоумышленник сможет найти эти папки и загрузить их содержимое. 

Файлы, содержащиеся в этих папках, обычно содержат всю историю кодовой базы, предыдущие изменения кода, комментарии, ключи безопасности, а также конфиденциальные удаленные пути, содержащие, в том числе, файлы с открытыми паролями. Помимо очевидной угрозы раскрытия паролей и конфиденциальных данных, существует также скрытая угроза — хакеры могут просмотреть код и найти дополнительные недостатки, которые они смогут использовать в своих целях.

Более того, эти папки могут содержать учетные данные базы данных и ключи API, что также дает злоумышленникам доступ к конфиденциальным пользовательским данным. 

Всего, по данным Defense.com, 332 тыс. веб-сайтов были признаны потенциально уязвимыми. 2,5 тыс. – в домене .gov. 

Из сообщения генерального директора Оливера Пинсона-Роксбурга:

«Технология открытого исходного кода всегда имеет потенциал для уязвимостей безопасности, поскольку они коренятся в общедоступности. Однако такой уровень уязвимости неприемлем. Организации должны обеспечить мониторинг своих систем и предпринять немедленные шаги для устранения рисков».

Git — чрезвычайно популярная система контроля версий с открытым исходным кодом, насчитывающая более 80 млн активных пользователей, добавляет Пинсон-Роксбург, говоря, что этот тип уязвимости на такой популярной платформе может иметь «серьезные последствия» для пострадавших фирм. 

По его словам, некоторые папки намеренно оставались доступными, но подавляющее большинство пользователей не знало об угрозе, с которой они сталкиваются.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Сотни пользователей Signal могли подвергнуться фишинговой атаке.
• Тысячи серверов VNC остались открытыми онлайн.
• Обнаружены библиотеки программирования Python со скрытыми угрозами безопасности.
• Установщик macOS для Zoom может позволить хакерам захватить устройство.