Se han revelado cuatro fallos de seguridad sin parchear, incluidos tres cr\u00edticos, en el Gafas<\/a> Servicio Git autohospedado y de c\u00f3digo abierto que podr\u00eda permitir a un atacante autenticado violar instancias susceptibles, robar o borrar el c\u00f3digo fuente e incluso instalar puertas traseras.<\/p>\n Las vulnerabilidades, seg\u00fan los investigadores de SonarSource Thomas Chauchefoin y Paul Gerste, se enumeran a continuaci\u00f3n:<\/p>\n La explotaci\u00f3n exitosa de las primeras tres deficiencias podr\u00eda permitir a un atacante ejecutar comandos arbitrarios en el servidor Gogs, mientras que la cuarta falla permite a los atacantes leer archivos arbitrarios como c\u00f3digo fuente y secretos de configuraci\u00f3n.<\/p>\n En otras palabras, al abusar de los problemas, un actor de amenazas podr\u00eda leer el c\u00f3digo fuente de la instancia, modificar cualquier c\u00f3digo, eliminar todo el c\u00f3digo, apuntar a hosts internos accesibles desde el servidor Gogs y hacerse pasar por otros usuarios y obtener m\u00e1s privilegios.<\/p>\n Dicho esto, las cuatro vulnerabilidades requieren que el atacante est\u00e9 autenticado. Adem\u00e1s, para activar CVE-2024-39930 es necesario que el servidor SSH integrado est\u00e9 habilitado, que se utilice la versi\u00f3n del binario env y que el autor de la amenaza est\u00e9 en posesi\u00f3n de una clave privada SSH v\u00e1lida.<\/p>\n “Si la instancia de Gogs tiene habilitado el registro, el atacante puede simplemente crear una cuenta y registrar su clave SSH”, dijeron los investigadores. dicho<\/a>“De lo contrario, tendr\u00edan que comprometer otra cuenta o robar la clave privada SSH de un usuario”.<\/p>\n Las instancias de Gogs que se ejecutan en Windows no son explotables, al igual que la imagen de Docker. Sin embargo, las que se ejecutan en Debian y Ubuntu son vulnerables debido al hecho de que el binario env admite la opci\u00f3n “–split-string”.<\/p>\n Seg\u00fan los datos disponibles en Shodan, alrededor de 7.300 instancias de Gogs son accesibles p\u00fablicamente a trav\u00e9s de Internet, y casi el 60% de ellas se encuentran en China, seguida de Estados Unidos, Alemania, Rusia y Hong Kong.<\/p>\n Actualmente no est\u00e1 claro cu\u00e1ntos de estos servidores expuestos son vulnerables a las fallas mencionadas anteriormente. SonarSource dijo que no tiene visibilidad sobre si estos problemas est\u00e1n siendo explotados en la red.<\/p>\n La firma suiza de ciberseguridad tambi\u00e9n se\u00f1al\u00f3 que los mantenedores del proyecto “no implementaron correcciones y dejaron de comunicarse” despu\u00e9s de aceptar su informe inicial el 28 de abril de 2023.<\/p>\n En ausencia de una actualizaci\u00f3n, se recomienda a los usuarios que deshabiliten el servidor SSH integrado, desactiven el registro de usuarios para evitar la explotaci\u00f3n masiva y consideren cambiar a Gitea. SonarSource tambi\u00e9n ha lanz\u00f3 un parche<\/a> que los usuarios pueden aplicar, pero se\u00f1al\u00f3 que no se ha probado exhaustivamente.<\/p>\n La revelaci\u00f3n se produce cuando la empresa de seguridad en la nube Aqua descubri\u00f3 que informaci\u00f3n confidencial, como tokens de acceso y contrase\u00f1as, una vez codificados podr\u00edan permanecer expuestos de forma permanente incluso despu\u00e9s de su eliminaci\u00f3n de los sistemas de gesti\u00f3n de c\u00f3digo fuente (SCM) basados \u200b\u200ben Git.<\/p>\n El problema, denominado “secretos fantasma”, surge del hecho de que no pueden descubrirse mediante ninguno de los m\u00e9todos de escaneo convencionales (la mayor\u00eda de los cuales buscan secretos usando el comando “git clone”) y que ciertos secretos son accesibles solo mediante “git clone –mirror” o vistas en cach\u00e9 de plataformas SCM, lo que resalta los puntos ciegos que dichas herramientas de escaneo pueden pasar por alto.<\/p>\n “Las confirmaciones siguen siendo accesibles a trav\u00e9s de ‘vistas de cach\u00e9’ en el SCM”, afirman los investigadores de seguridad Yakir Kadkoda e Ilay Goldman. dicho<\/a>“B\u00e1sicamente, el SCM guarda el contenido de la confirmaci\u00f3n para siempre”.<\/p>\n “Esto significa que, incluso si se elimina un secreto que contiene una confirmaci\u00f3n tanto de la versi\u00f3n clonada como de la duplicada de su repositorio, se puede acceder a \u00e9l si alguien conoce el hash de la confirmaci\u00f3n. Puede recuperar el contenido de la confirmaci\u00f3n a trav\u00e9s de la interfaz gr\u00e1fica de usuario de la plataforma SCM y acceder al secreto filtrado”.<\/p>\n <\/p>\n\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Se-revelan-fallas-criticas-sin-parchear-en-el-popular-servicio.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n