Se han revelado cuatro fallos de seguridad sin parchear, incluidos tres críticos, en el Gafas Servicio Git autohospedado y de código abierto que podría permitir a un atacante autenticado violar instancias susceptibles, robar o borrar el código fuente e incluso instalar puertas traseras.
Las vulnerabilidades, según los investigadores de SonarSource Thomas Chauchefoin y Paul Gerste, se enumeran a continuación:
- CVE-2024-39930 (Puntuación CVSS: 9,9) – Inyección de argumentos en el servidor SSH integrado
- CVE-2024-39931 (Puntuación CVSS: 9,9) – Eliminación de archivos internos
- CVE-2024-39932 (Puntuación CVSS: 9,9) – Inyección de argumentos durante la vista previa de cambios
- CVE-2024-39933 (Puntuación CVSS: 7,7) – Inyección de argumentos al etiquetar nuevos lanzamientos
La explotación exitosa de las primeras tres deficiencias podría permitir a un atacante ejecutar comandos arbitrarios en el servidor Gogs, mientras que la cuarta falla permite a los atacantes leer archivos arbitrarios como código fuente y secretos de configuración.
En otras palabras, al abusar de los problemas, un actor de amenazas podría leer el código fuente de la instancia, modificar cualquier código, eliminar todo el código, apuntar a hosts internos accesibles desde el servidor Gogs y hacerse pasar por otros usuarios y obtener más privilegios.
Dicho esto, las cuatro vulnerabilidades requieren que el atacante esté autenticado. Además, para activar CVE-2024-39930 es necesario que el servidor SSH integrado esté habilitado, que se utilice la versión del binario env y que el autor de la amenaza esté en posesión de una clave privada SSH válida.
«Si la instancia de Gogs tiene habilitado el registro, el atacante puede simplemente crear una cuenta y registrar su clave SSH», dijeron los investigadores. dicho«De lo contrario, tendrían que comprometer otra cuenta o robar la clave privada SSH de un usuario».
Las instancias de Gogs que se ejecutan en Windows no son explotables, al igual que la imagen de Docker. Sin embargo, las que se ejecutan en Debian y Ubuntu son vulnerables debido al hecho de que el binario env admite la opción «–split-string».
Según los datos disponibles en Shodan, alrededor de 7.300 instancias de Gogs son accesibles públicamente a través de Internet, y casi el 60% de ellas se encuentran en China, seguida de Estados Unidos, Alemania, Rusia y Hong Kong.
Actualmente no está claro cuántos de estos servidores expuestos son vulnerables a las fallas mencionadas anteriormente. SonarSource dijo que no tiene visibilidad sobre si estos problemas están siendo explotados en la red.
La firma suiza de ciberseguridad también señaló que los mantenedores del proyecto «no implementaron correcciones y dejaron de comunicarse» después de aceptar su informe inicial el 28 de abril de 2023.
En ausencia de una actualización, se recomienda a los usuarios que deshabiliten el servidor SSH integrado, desactiven el registro de usuarios para evitar la explotación masiva y consideren cambiar a Gitea. SonarSource también ha lanzó un parche que los usuarios pueden aplicar, pero señaló que no se ha probado exhaustivamente.
La revelación se produce cuando la empresa de seguridad en la nube Aqua descubrió que información confidencial, como tokens de acceso y contraseñas, una vez codificados podrían permanecer expuestos de forma permanente incluso después de su eliminación de los sistemas de gestión de código fuente (SCM) basados en Git.
El problema, denominado «secretos fantasma», surge del hecho de que no pueden descubrirse mediante ninguno de los métodos de escaneo convencionales (la mayoría de los cuales buscan secretos usando el comando «git clone») y que ciertos secretos son accesibles solo mediante «git clone –mirror» o vistas en caché de plataformas SCM, lo que resalta los puntos ciegos que dichas herramientas de escaneo pueden pasar por alto.
«Las confirmaciones siguen siendo accesibles a través de ‘vistas de caché’ en el SCM», afirman los investigadores de seguridad Yakir Kadkoda e Ilay Goldman. dicho«Básicamente, el SCM guarda el contenido de la confirmación para siempre».
«Esto significa que, incluso si se elimina un secreto que contiene una confirmación tanto de la versión clonada como de la duplicada de su repositorio, se puede acceder a él si alguien conoce el hash de la confirmación. Puede recuperar el contenido de la confirmación a través de la interfaz gráfica de usuario de la plataforma SCM y acceder al secreto filtrado».