Una nueva herramienta llamada Gitjacker puede ayudar a los desarrolladores a descubrir cuándo cargaron accidentalmente carpetas /.git en línea y dejaron información confidencial expuesta a los atacantes.
Gitjacker fue creado por el ingeniero de software británico Liam Galvin, está escrito en Go y se lanzó como descarga gratuita el mes pasado en GitHub.
En su forma mas simple, la herramienta permite a los usuarios escanear un dominio e identificar la ubicación de una carpeta /.git en sus sistemas de producción.
Las carpetas /.git nunca deben cargarse en línea.
Liam Galvin
“Un directorio .git almacena todos los datos de su repositorio Git, como la configuración, el historial de confirmaciones y el contenido real de cada archivo en el repositorio”, dijo Galvin en una publicación de blog el mes pasado cuando lanzó Gitjacker.
GITJACKER NO SOLO ENCUENTRA / .GIT FOLDERS PERO TAMBIÉN PUEDE BUSCAR SU CONTENIDO
Los atacantes pueden escanear Internet en busca de este tipo de carpetas, identificar sistemas expuestos accidentalmente, descargar su contenido y obtener acceso a datos confidenciales de configuración o incluso al código fuente de una aplicación.
"El ataque aún es posible cuando las listas de directorios están deshabilitadas, pero a menudo es difícil recuperar un repositorio completo en tales casos", agregó Galvin.
Sin embargo, aquí es donde entra Gitjacker. Galvin dijo que desarrolló Gitjacker para manejar la descarga y extracción de un repositorio de git para los usuarios, incluso en los casos en que los listados de directorios web están deshabilitados.
Galvin dijo que desarrolló la herramienta para usarla en pruebas de penetración, pero debido a sus capacidades, lo más probable es que Gitjacker también sea abusado por los actores de amenazas (ya que los actores de amenazas tienen un largo historial de abuso de herramientas de código abierto para sus operaciones).
¿Y por qué no? Las capacidades de Gitjacker permiten a los atacantes recuperar archivos de configuración confidenciales con unos pocos golpes de teclado.
Además, existe un incentivo para que los atacantes busquen carpetas /.git. Incluso después de años de advertencias 1, 2, 3, 4, la exposición de /.git sigue siendo alta, lo que significa que los atacantes encontrarán fácilmente dominios con carpetas /.git expuestas en línea.
Por ejemplo, en 2018, un desarrollador checo escaneó más de 230 millones de sitios y descubrió que 390,000 estaban exponiendo carpetas /.git, pero solo 150,000 de estas fueron reparadas.
No Responses