Patru vulnerabilități de securitate neremediate, inclusiv trei critice, au fost dezvăluite în serviciul open-source Gogs Git, care ar putea permite unui atacator autentificat să compromită instanțele vulnerabile, să fure sau să șteargă codul sursă și chiar să planteze backdoors.
TL;DR
Patru vulnerabilități critice în Gogs Git permit atacatorilor autentificați să execute comenzi arbitrare, să citească și să modifice codul sursă, să șteargă fișiere și să obțină privilegii suplimentare. Utilizatorii sunt sfătuiți să dezactiveze serverul SSH încorporat, să oprească înregistrarea utilizatorilor și să considere trecerea la Gitea.
Vulnerabilitățile dezvăluite
Cercetătorii de la SonarSource, Thomas Chauchefoin și Paul Gerste, au identificat următoarele vulnerabilități în Gogs:
- CVE-2024-39930 (Scor CVSS: 9.9) - Argument injection în serverul SSH încorporat
- CVE-2024-39931 (Scor CVSS: 9.9) - Ștergerea fișierelor interne
- CVE-2024-39932 (Scor CVSS: 9.9) - Argument injection în timpul previzualizării modificărilor
- CVE-2024-39933 (Scor CVSS: 7.7) - Argument injection la etichetarea noilor versiuni
Exploatarea cu succes a primelor trei vulnerabilități poate permite unui atacator să execute comenzi arbitrare pe serverul Gogs, în timp ce a patra vulnerabilitate permite atacatorilor să citească fișiere arbitrare, cum ar fi codul sursă și secretele de configurare.
Impactul vulnerabilităților
Abuzând aceste vulnerabilități, un atacator poate citi codul sursă pe instanță, modifica orice cod, șterge tot codul, ținti gazdele interne accesibile de pe serverul Gogs și se poate da drept alți utilizatori pentru a obține privilegii suplimentare. Toate cele patru vulnerabilități necesită ca atacatorul să fie autentificat. În plus, declanșarea CVE-2024-39930 necesită ca serverul SSH încorporat să fie activat, versiunea binarului “env” utilizată și ca atacatorul să dețină o cheie SSH privată validă.
Cercetătorii au spus: “Dacă instanța Gogs are înregistrarea activată, atacatorul poate pur și simplu să-și creeze un cont și să-și înregistreze cheia SSH. În caz contrar, ar trebui să compromită un alt cont sau să fure cheia SSH privată a unui utilizator.”
Instanțele Gogs care rulează pe Windows nu sunt exploatabile, la fel și imaginea Docker. Totuși, cele care rulează pe Debian și Ubuntu sunt vulnerabile, deoarece binarul “env” suportă opțiunea “–split-string”.
Recomandări de securitate
Conform datelor disponibile pe Shodan, aproximativ 7.300 de instanțe Gogs sunt accesibile public pe internet, cu aproape 60% dintre ele situate în China, urmate de SUA, Germania, Rusia și Hong Kong. Nu este clar câte dintre aceste servere expuse sunt vulnerabile la defectele menționate. SonarSource a declarat că nu are vizibilitate asupra faptului dacă aceste probleme sunt exploatate. Firma elvețiană de securitate cibernetică a subliniat, de asemenea, că administratorii proiectului “nu au implementat remedieri și au încetat comunicarea” după ce au acceptat raportul lor inițial din 28 aprilie 2023.
În absența unei actualizări, utilizatorii sunt sfătuiți să dezactiveze serverul SSH încorporat, să oprească înregistrarea utilizatorilor pentru a preveni exploatarea în masă și să considere trecerea la Gitea. SonarSource a lansat, de asemenea, un patch pe care utilizatorii îl pot aplica, dar a menționat că nu a fost testat extensiv.
Informații sensibile și conceptul de “Phantom Secrets”
Dezvăluirea vine în contextul în care firma de securitate cloud Aqua a descoperit că informațiile sensibile, cum ar fi token-urile de acces și parolele odată hardcoded, ar putea rămâne permanent expuse chiar și după eliminarea din sistemele de gestionare a codului sursă (SCM) bazate pe Git. Numite phantom secrets, problema provine din faptul că ele nu pot fi descoperite prin metodele convenționale de scanare – majoritatea dintre ele căutând secrete folosind comanda “git clone” – și că anumite secrete sunt accesibile doar prin “git clone –mirror” sau vizualizări cache ale platformelor SCM, evidențiind punctele oarbe pe care astfel de instrumente de scanare le pot rata.
Cercetătorii de securitate Yakir Kadkoda și Ilay Goldman au spus: “Comit-urile rămân accesibile prin ‘vizualizări cache’ pe SCM. Practic, SCM salvează conținutul commit-urilor pentru totdeauna.”
“Aceasta înseamnă că, chiar dacă un commit care conține un secret este eliminat atât din versiunile clonate, cât și din cele oglindite ale depozitului dvs., acesta poate fi încă accesat dacă cineva cunoaște hash-ul commit-ului. Ei pot recupera conținutul commit-ului prin GUI-ul platformei SCM și accesa secretul divulgat.”
Sursa articolului:
https://thehackernews.com/2024/07/critical-vulnerabilities-disclosed-in.html
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
