Četiri nezakrpljene sigurnosne greške, uključujući tri kritične, otkrivene su u Gogs open-source, samostalno hostiranom Git servisu koji bi mogao omogućiti autentificiranom napadaču da probije podložne instance, ukrade ili izbriše izvorni kod, pa čak i postavi backdoor.
Ranjivosti, prema istraživačima SonarSourcea Thomasu Chauchefoinu i Paulu Gersteu, naveli su:
- CVE-2024-39930 (CVSS rezultat: 9,9) – Ubacivanje argumenta u ugrađeni SSH server
- CVE-2024-39931 (CVSS rezultat: 9,9) – Brisanje internih datoteka
- CVE-2024-39932 (CVSS rezultat: 9,9) – Ubacivanje argumenta tokom pregleda izmjena
- CVE-2024-39933 (CVSS rezultat: 7,7) – Ubacivanje argumenta pri označavanju novih izdanja
Uspješno iskorištavanje prva tri nedostatka moglo bi dozvoliti napadaču da izvrši proizvoljne komande na Gogs serveru, dok četvrta mana dozvoljava napadačima da čitaju proizvoljne datoteke kao što su izvorni kod i tajne konfiguracije.
Drugim riječima, zloupotrebljavajući probleme, haker mogao bi pročitati izvorni kod na instanci, modificirati bilo koji kod, izbrisati sav kod, ciljati interne hostove do kojih može doći sa Gogs servera i lažno predstavljati druge korisnike i dobiti više privilegija.
Međutim, sve četiri ranjivosti zahtijevaju autentifikaciju napadača. Takođe, za pokretanje CVE-2024-39930 neophodno je da je ugrađeni SSH server omogućen, da se koristi verzija env binarnog sistema i da haker posjeduje važeći SSH privatni ključ.
“Ako Gogs instanca ima omogućenu registraciju, napadač može jednostavno kreirati nalog i registrovati svoj SSH ključ”, rekli su istraživači. „U suprotnom, morali bi kompromitovati drugi nalog ili ukrasti korisnički SSH privatni ključ.“
Gogs instance koje rade na Windows-u nisu upotrebljive, kao ni Docker slika. Međutim, oni koji rade na Debianu i Ubuntu-u su ranjivi zbog činjenice da env binarni program podržava opciju “–split-string”.
Prema podacima dostupnim na Shodanu, oko 7.300 Gogs instanci je javno dostupno putem interneta, od kojih se skoro 60% nalazi u Kini, a slijede SAD, Njemačka, Rusija i Hong Kong.
Trenutno nije jasno koliko je ovih izloženih servera ranjivo na gore navedene mane. SonarSource je rekao da nema nikakvu vidljivost u tome da li se ovi problemi iskorištavaju u divljini.
Švajcarska firma za cyber bezbjednost je takođe istakla da održavaoci projekta “nisu implementirali popravke i prestali da komuniciraju” nakon što su prihvatili njen prvobitni izveštaj 28. aprila 2023. godine.
U nedostatku ažuriranja, korisnicima se preporučuje da onemoguće ugrađeni SSH server, da isključe registraciju korisnika kako bi spriječili masovnu eksploataciju i da razmotre prelazak na Gitea. SonarSource je takođe objavio zakrpu koju korisnici mogu primijeniti, ali napominje da nije opsežno testiran.
Otkrivanje dolazi nakon što je firma za sigurnost u cloud Aqua otkrila da osjetljive informacije kao što su tokeni za pristup i lozinke nakon što su čvrsto kodirane mogu ostati trajno izložene čak i nakon uklanjanja iz sistema za upravljanje izvornim kodom (SCM) baziranim na Git-u.
Nazvane fantomske tajne, problem proizilazi iz činjenice da se one ne mogu otkriti nijednom od konvencionalnih metoda skeniranja – od kojih većina traži tajne pomoću naredbe „git clone“ – i da su određene tajne dostupne samo putem „git clone“– ogledalo” ili keširani prikazi SCM platformi, ističući slijepe tačke koje takvi alati za skeniranje mogu propustiti.
“Urezivanja ostaju dostupna putem ‘cache view-a’ na SCM-u”, rekli su istraživači sigurnosti Yakir Kadkoda i Ilay Goldman. “U suštini, SCM zauvek čuva sadržaj urezivanja.”
“To znači da čak i ako je tajna koja sadrži urezivanje uklonjena i iz klonirane i iz preslikane verzije vašeg spremišta, i dalje joj se može pristupiti ako neko zna hash urezivanja. Oni mogu dohvatiti sadržaj urezivanja putem GUI-ja platforme SCM i pristupiti procurjelim tajnom.”
Izvor:The Hacker News
