Gogs’taki Kritik Güvenlik Açığı
Gogs, internet üzerinden erişilebilen örneklerinde saldırganların özel depolar da dahil olmak üzere her türlü depoya erişim kazanmasına yol açabilecek kritik bir sıfırıncı gün güvenlik açığını kapattı. Bu açık, yetkilendirilmiş kullanıcılar tarafından kötüye kullanılabiliyor ve tüm Gogs sürümlerini etkilemektedir.
Açığın Teknik Detayları
Bu argument injection açığı, henüz bir CVE ID’si almamış durumda ve yalnızca yönetici ayrıcalıklarına sahip olmayan yetkilendirilmiş saldırganlar tarafından kullanılabilir. Etkilenen sürümler şunlardır:
- 0.14.2 ve altında
- 0.15.0+dev
Saldırganlar, bu açığı kullanarak hedef sunucuyu ele geçirebilir, herhangi bir depoyu (özel depolar dahil) okuyabilir, kimlik bilgilerini çalabilir ve ağ üzerindeki diğer sistemlere geçiş yapabilirler.
Saldırı Nasıl Çalışıyor?
Gogs’un varsayılan yapılandırmasında herkese açık kayıt işlemi etkin durumda olduğundan (DISABLE_REGISTRATION = false) ve depo oluşturma işlemi sınırlandırılmadığından (MAX_CREATION_LIMIT = -1), herhangi bir doğrulanmamış saldırgan basitçe bir hesap ve depo oluşturabilir.
- Herhangi bir kayıtlı kullanıcı, oluşturduğu deponun otomatik olarak sahibi olur.
- Rebase birleştirmeyi etkinleştirmek sadece bir ayar değişikliği gerektirir; bu sayede tüm saldırı zinciri, diğer kullanıcılarla etkileşim gerektirmeden gerçekleştirilebilir.
Etkilenen Sistemler
Gogs, Go ile yazılarak GitHub Enterprise veya GitLab’a alternatif olarak tasarlanmıştır ve genellikle uzaktan işbirliği platformu olarak çevrimiçi mevcuttur. Shadowserver, şu anda dünya genelinde 2,300’den fazla Gogs sunucusunu takip etmektedir; bunların çoğu Asya (1,839) ve Avrupa (312) bölgelerindedir. Shodan ise 1,000’den fazla IP adresinde Gogs parmak izi bulmuştur.
Çözüm ve Korunma
Gogs geliştiricileri, bu açığı kapatmak için v0.14.3 sürümünü 7 Haziran’da yayınladı. Rapid7, tüm Gogs kullanıcılarını hemen güncellemeye davet ediyor ve önerilen düzeltme şu şekildedir:
- Kullanıcı kaydını kısıtlayın: app.ini dosyasında DISABLE_REGISTRATION = true olarak ayarlayın. Bu, güvensiz kullanıcıların hesap oluşturmasını önleyerek en etkili koruma sağlar.
- Depo oluşturma işlemini kısıtlayın: app.ini dosyasında MAX_CREATION_LIMIT = 0 olarak ayarlayın. Bu, yeni bir repo oluşturmaları için kullanıcıları engeller.
- Rebase birleştirme ayarlarını denetleyin: “Rebase before merging” ayarını repo bazında devre dışı bırakabilirsiniz, ancak bu, repo sahibinin yeniden etkinleştirme yapmasına engel olamaz.
Sonuç
Gogs kullanıcılarının derhal 0.14.3 sürümüne güncellemeleri gerekmektedir. Eğer güncelleme hemen mümkün değilse, yukarıda belirtilen önlemleri alarak sistemlerinizi koruma altına almalısınız. Bu tür güvenlik açıkları, siber saldırganlar için sıkça başvurulan yollar olup, ciddi riskler taşımaktadır.
