Siber keşifte yakın tarihli bir artış, küresel bir tehdit istihbarat platformu olan Geynoise’den sonra binlerce kuruluşu riske attı, hassas GIT konfigürasyon dosyalarına erişme girişimlerinde endişe verici bir artış tespit etti.
20 ve 21 Nisan tarihleri arasında Greynoise, bu dosyaları hedefleyen günlük benzersiz IP’lerin sayısını 4.800’ü geçerek-rekor kıran bir rakam ve kötü niyetli aktörlerden gelen yoğun ilginin net bir işaretini gözlemledi.
CVE spot ışığı: CVE-2021-23263
Bu aktivite dalgası yeni keşfedilen sıfır güne bağlı olmasa da, tehdit araştırmacıları, saldırganların yanlışlıkla .git dizinleri açığa çıkarabilen belirli web sunucusu yapılandırmalarında CVE-2021-23263 zayıflık gibi bilinen güvenlik açıklarından yararlanabileceğini uyarıyor.
.png
)
Kullanılansa, saldırganlar yapılandırma dosyaları, taahhüt geçmişi ve hassas kimlik bilgileri de dahil olmak üzere tüm git deposunu indirebilir.
Kötü niyetli IP’ler ve bölgesel hedefleme
Büyük çoğunluk% 95-son 90 gün içinde bu davranışla uğraşan IP’lerin, maruz kalan alanların karşılaştığı kritik tehdide vurgu yaparak kötü niyetli olarak kategorize edilmektedir.
Etkinlik küresel olarak dağıtılır, ancak Asya’da belirgin bir konsantrasyona sahiptir. Singapur, bu tarama oturumları için hem en üst kaynak hem de hedef olarak ortaya çıktı, ABD ve Almanya da göze çarpıyor.
Üst kaynak ülkeler (benzersiz IP’ler):
- Singapur: 4.933
- ABD: 3.807
- Almanya: 473
- İngiltere: 395
- Hollanda: 321
En iyi hedef ülkeler (benzersiz IP’ler):
- Singapur: 8.265
- ABD: 5.143
- Almanya: 4.138
- İngiltere: 3.417
- Hindistan: 3.373
Bu IP’lerin çoğu, büyük bulut altyapı sağlayıcılarıyla bağlantılıdır- Cloudflare, Amazon ve Digitalocean- Saldırganların keşifleri arttırmak için ölçeklenebilir kaynakları kullanmasını vurgular.
Greynoise, Eylül 2024’ten bu yana sürünen GIT yapılandırma dosyasında dördüncü ve en büyük artış olduğunu ve yaklaşık 3.000 benzersiz IP’yi içeren önceki dalgalanmaları aştığını belirtiyor.
Her ani artış, bölgesel faaliyette değişen kalıpları ortaya çıkarır ve tehdit aktörlerinin kalıcılığını ve uyarlanabilirliğini gösterir.
Bir git yapılandırma dosyasının (veya daha da kötüsü, tüm .git/ dizin) ortaya çıkması şunları ortaya çıkarabilir:
- Uzak Depo URL’leri (örn. GitHub, GitLab)
- Şube Yapıları ve Adlandırma Sözleşmeleri
- Geliştirme süreçleri hakkında içeriden meta veriler
- Taahhüt tarihine gömülü kimlik bilgileri
Bu teorik bir tehdit değildir: 2024’te benzer bir yanlış yapılandırma, 15.000 kimlik belgesinin maruz kalmasına ve 10.000 özel depoların klonlanmasına yol açmıştır.
Bu tür ihlalleri önlemek için:
- .Git/ dizinlerin web tarafından erişilemediğinden emin olun.
- Web sunucusu yapılandırmalarındaki gizli dosyalara/klasörlere erişimi engelleyin.
- .Git/config için tekrarlanan istekler için sunucu günlüklerini izleyin.
- Hemen açıkta kalan kimlik bilgilerini döndürün.
Kötü niyetli IP’lerin engellenmesi ve bu boşlukların kapatılması, kaynak kodu yönetimi için GIT’e dayanan herhangi bir kuruluş için en önemli öncelik olmalıdır.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!