NCSC warnt vor ungeschützten Git-Repositorys

Das Nationale Zentrum für Cybersicherheit (NCSC) hat 1300 Schweizer Git-Repositorys identifiziert, die anfällig für eine Cyberattacke sind. Wie das NCSC mitteilt, sind potenziell sensitive Daten wie beispielsweise Quellcode, Zugangsdaten oder Passwörter öffentlich einsehbar.

Git ist ein Tool zur Versionierung und Verwaltung von Code, welches von Softwareentwicklern zur Zusammenarbeit benutzt wird. Werden Git-Verzeichnisse falsch konfiguriert oder ungenügend geschützt, können Datenbestände öffentlich im Internet mit wenigen Klicks eingesehen werden.

Mögliche Ursachen für einen ungenügenden Schutz sind unter anderem menschliche Fehler durch IT-Administratoren oder Entwickler. Aber auch Schwächen bei der Erstellung eines neuen Entwicklungsprojekts. Beim Start eines neuen Projektes wird häufig einfach ein bereits bestehendes Verzeichnis kopiert, ohne genau darauf zu achten, welche Datenbestände enthalten sind und wie diese geschützt sind.

Für die Verwaltung und das Tracking der Versionen verwenden Git wie auch andere Tools im jeweiligen Verzeichnis einen speziellen Datenordner: Bei Git ist dies der .git-Ordner. Dieser Ordner enthält einerseits den vollständigen Softwarequellcode, beispielsweise einer Applikation oder des Internetauftrittes, und andererseits auch alle vorherigen Versionen und Änderungen und möglicherweise Konfigurationsdateien mit sensiblen und schützenswerten Systeminformationen wie Passwörter von Datenbanken, API-Keys, usw. Durch den Zugriff auf den Quellcode kann ein potenzieller Angreifer zusätzlich gezielt nach Schwachstellen in der Applikation oder im System suchen und eine Internetseite dadurch kompromittieren.

1300 betroffene Repositorys - mindestens

Externe Stellen machten das NCSC auf das Problem der unzureichend geschützten Git-Verzeichnissen aufmerksam. Das NCSC fand daraufhin 1300 betroffene Systemen, bei denen potenziell sensitive Daten wie beispielsweise Quellcode, Zugangsdaten oder Passwörter über ungenügend geschützte .git-Ordner einsehbar waren.

Das NCSC habe im Oktober 2022 die betroffenen Firmen oder verantwortlichen Website-Betreiber direkt per E-Mail informiert. Bei den 400 angeschriebenen Empfängern handelte es sich entweder um den technischen Kontakt oder den Halter der Domain.

Bei den 1300 entdeckten Systemen handle es sich jedoch um eine Momentaufnahme, da sich die Internetlandschaften täglich verändere. Das NCSC rät daher den IT-Systemverantwortlichen eine kontinuierliche Überprüfung ihrer Verzeichnisse.

Handlungsempfehlungen

Laut dem NCSC sollte der .git-Ordner auf einem produktiven System niemals öffentlich im Internet zugänglich sein. Ist eine Entfernung des Ordners kurzfristig nicht möglich, sollte mindestens der Zugriff auf den Ordner eingeschränkt und entsprechend geschützt werden.

Noch zielführender seien allerdings präventive Massnahmen wie die Überprüfung und Anpassung des Entwicklungsprozesses. Dabei soll sichergestellt werden, dass nur die gewünschten und die dafür vorgesehenen Daten überhaupt im Git-Verzeichnis abgelegt werden.

Sensitive oder geheime Daten wie Passwörter, API-Keys, usw. sollten niemals im Quellcode oder in der Applikation selbst abgelegt sein ("hardcoded") oder zumindest sichergestellt werden, dass diese nicht im Git-Verzeichnis abgelegt und ignoriert werden ("gitignore file"). In der Praxis zeigt sich leider, dass diese grundlegenden Sicherheitsmassnahmen und "best practices" oftmals nicht eingehalten werden.

Lesen Sie ausserdem: Die Daten von rund 65'000 Microsoft-Kunden sind aufgrund eines Konfigurationsfehlers öffentlich einsehbar gewesen. Das Leck ist gemäss Microsoft inzwischen geschlossen, alle betroffenen Kunden seien informiert.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.