Una vulnerabilità enorme mette a rischio milioni di siti web: quasi 5 milioni di server in tutto il mondo stanno esponendo pubblicamente i dati sensibili delle cartelle .git, permettendo a chiunque di scaricare il codice sorgente completo. Soluzione rapida: configura il tuo server per bloccare l’accesso alle cartelle nascoste come .git e verifica subito i deployment per escludere metadati di version control.
Questa scoperta evidenzia un errore comune nei processi di deploy: gli sviluppatori spesso copiano l’intera cartella del progetto, inclusa la directory .git nascosta, sui server live. Poiché molti server web non bloccano di default l’accesso ai file che iniziano con un punto, questi dati diventano pubblici. Il risultato? Attaccanti possono ottenere una mappa completa dell’infrastruttura, credenziali di deploy e codice proprietario.
L’entità del problema è spaventosa. La ricerca ha identificato 4.964.815 indirizzi IP che espongono metadati .git accessibili via web. Peggio ancora, circa 252.733 server (il 5%) rivelano il file .git/config con credenziali attive per deployment, API key e token di accesso. Immagina: con un semplice browser, un malintenzionato scarica l’intera storia del codice, ricostruisce il software e sfrutta debolezze interne.
I rischi sono multipli e devastanti:
- Furto di codice sorgente: Ricostruzione di software proprietario e proprietà intellettuale.
- Raccolta di credenziali: Oltre 250.000 file config esposti con password e chiavi API.
- Attacchi supply chain: Upload di codice malevolo nei repository, infettando tutti gli utenti del software.
Impatto globale preoccupante. Gli Stati Uniti dominano con il 35% (1,7 milioni di IP), seguiti da Germania, Francia, India e Singapore. Questa distribuzione riflette la concentrazione di infrastrutture cloud, non la localizzazione dei proprietari dei siti. In Italia e Europa, il fenomeno è in crescita, in linea con l’aumento del 60% degli attacchi gravi rilevati tra 2019 e 2023, dove l’81% ha severità critica o grave.
| Paese | IP Esposti | Percentuale |
|---|---|---|
| Stati Uniti | 1.722.949 | 34,70% |
| Germania | 419.102 | – |
| Francia | 237.593 | – |
| India | 218.661 | – |
| Singapore | 189.900 | – |
Non si tratta di exploit complessi: è un’oversight banale durante il deploy. Cartelle .git sono progettate per macchine developer o repo private, non per server pubblici. Eppure, finiscono online perché i pipeline di build non le escludono.
Per mitigare immediatamente:
- Blocca l’accesso: Imposta regole su Nginx, Apache o IIS per negare richieste a /.git/ e file nascosti.
- Deployment puliti: Carica solo artifact necessari, escludendo dati di version control.
- Ruota i segreti: Se .git/config è esposto, revoca e rigenera tutte le credenziali.
Queste pratiche di ‘sanitizzazione’ chiudono una backdoor pericolosa, riducendo rischi in un panorama dove vulnerabilità in dipendenze indirette (come Git CVE-2025-48384) e attacchi malware critici sono in aumento del 50%.
Approfondimento tecnico
Per chi gestisce server, ecco dettagli avanzati su come diagnosticare e risolvere.
Scansione e verifica: Usa tool come gitdumper o script personalizzati per testare l’esposizione. Ad esempio, curl http://tuosito.com/.git/config per controllare. In produzione, integra scanner automatizzati nei CI/CD.
Configurazioni server specifiche:
- Nginx: Aggiungi in server block:
location ~ /\. {
deny all;
access_log off;
log_not_found off;
}
- Apache: Nel .htaccess o virtual host:
<Files ~ "^\.git">
Order allow,deny
Deny from all
</Files>
- IIS: Regola web.config con:
<location path=".git">
<system.webServer>
<authorization>
<remove users="*" roles="" verbs="" />
<add accessType="Deny" users="*" />
</authorization>
</system.webServer>
</location>
Pipeline sicuri: In Docker o ECS, builda immagini minimali escludendo .git. Esempio Dockerfile multi-stage:
# Stage 1: Build
FROM golang:alpine AS builder
RUN apk add --no-cache git
go build -o /app .
# Stage 2: Runtime
FROM scratch
COPY --from=builder /app /app
ENTRYPOINT ["/app"]
Rimuovi setuid/setgid: find / -perm /6000 -type f -exec chmod a-s {} \;
Monitoraggio avanzato: Integra Fail2Ban per brute-force su log, DNSSEC per zone, e tool come GitHub Copilot per identificare vulnerabilità in repo (88% degli utenti riporta +produttività). Aggiorna pacchetti: +50% fix vulnerabilità su GitHub nel 2026.
Statistiche contestualizzate: Con 14M visitatori giornalieri su GitHub (1,5% utenti internet), l’engagement alto amplifica rischi supply chain. In Italia, Clusit nota +10% eventi critici hacktivism/malware. Ubuntu avverte su dipendenze indirette: una libreria Git non aggiornata compromette stack interi.
Migliori pratiche NIS2-compliant: Per UE, monitora log, patcha proattivamente (come Canonical), usa chiavi SSH per GitHub. Visual Studio 2026 integra Copilot per analisi eccezioni con contesto repo, riducendo debug manuale.
Adottando questi step, non solo chiudi gap immediati ma rafforzi resilienza contro trend 2026: crescita attacchi critici e dipendenze vulnerabili. Proteggi i tuoi asset digitali oggi.
Fonte: https://gbhackers.com/over-5-million-misconfigured-git-web-servers-found-exposing/
