Site icon Segurança Informática

Mais de 400K de websites podem estar em risco de ser comprometidos

Mais de 400K de websites podem estar em risco de ser comprometidos. Estes podem ser obtidos através de uma google-dork e expor informação sensível em diretórioas /.git.

O uso de versionadores de código durante o desenvolvimento de um website, como p.ex., o GitHub,  é sempre uma excelente forma de controlar todas as suas fases de desenvolvimento. No entanto, quando o website é colocado online, muitas vezes um simples diretório denominado /.git é também deixado público, junto do website, no servidor de produção.

Esta é, de facto, uma falha grave e que poderá ter prejuízos incálculaveis, uma vez que podem ser expostas informações sensíveis, como palavras-passe de acesso a bases de dados.

Nesse sentido, um investigador da República Checa, Vladimir Smitka, analisou recentemente 230 milhões de websites em todo o mundo durante 1 mês. Ele encontrou 390.000 websites com um diretório .git público.

Este é um problema bastante desagradável, uma vez que pessoas não autorizadas podem obter acesso válido a informações sensíveis como passwords de acesso a base de dados, chaves de API, e muito mais.

Os criminosos não precisam de muito conhecimento, apenas precisam de usar uma simples google-dork como a seguinte:

intext:Index of /.git

 

O motor de pesquisa google é tão poderoso que é possível filtrar os resultados por top domain, e afunilar a pesquisa apenas para websites de um país, de uma organização, ou simplesmente de um único domain name.

Também é possível personalizar a pesquisa e procurar por outro tipo de conteúdo, p.ex., ficheiros com passwords, endereços de emails, entre outros.

No caso do git, um invasor pode usar esse acesso para reconstruir lentamente o repositório git de um website e/ou pesquisar quais bibliotecas são usadas e, a partir dele, descobrir possíveis vulnerabilidades.

 

O investigador começou o varrimento global depois de fazer uma varredura mais restrita de websites checos e eslovacos, o que resultou em mais de 2.000 websites com pastas .git expostas em uma parte publicamente acessível do site.

Em alguns dos websites expostos ele encontrou passwords de bases de dados e de banco de dados e uploaders sem autenticação prévia, o que permite aos invasores p.ex., carregar uma webshell para o servidor e comprometer de imediato todo o sistema.

Mas a motivação para o varriemento mundial foi que ele achou relativamente fácil encontrar detalhes sobre contatos para os proprietários dos websites checos e eslovacos, a quem endereçou o problema de segurança.

Normalmente, o <web-site> /. Git / HEAD não deve estar público, mas em websites vulneráveis, esse diretório contém uma lista de commits e detalhes sobre os contribuidores, incluindo os seus endereços de email.

Um mês depois de enviar 2.000 alertas, ele verificou novamente os websites e encontrou pastas .git acessíveis apenas em 874 websites, o que significa uma taxa de sucesso de 55% da sua campanha de sensibilização.

Depois de concluir o varrimento global, ele enviou outro lote de 90.000 e-mails para os administradores do website afetados, o que os direcionou para sua página de destino, onde descreveu o problema e as etapas para a sua mitigação.

“Just for clarification, I didn’t hack your site,” Smitka stresses on his site.

“I’m a security researcher/white hat/ethical hacker and I only detected a security problem on your website,” he said.

“No sensitive data was downloaded from your site except for your email address, which will be forgotten after the research. I won’t store it or use it for any other purposes.”

 

Na maior parte, os seus alertas de e-mail foram bem recebidos, levando a 300 mensagens adicionais de partes afetadas e 2.000 e-mails de agradecimento.

No entanto, ele também recebeu uma ameaça que iam denunciá-lo à polícia canadense e duas acusações de que ele era um spammer.

Vladimír Smitka found 390,000 webpages with an open .git directory.

Image: Lynt Services

 

Exit mobile version