Falla crítica no parcheadas en el popular servicio Git de código abierto

Iniciado por AXCESS, Julio 08, 2024, 04:47:22 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Julio 08, 2024, 04:47:22 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se han revelado cuatro fallas de seguridad sin parches, incluidas tres críticas, en el servicio Git autohospedado de código abierto de Gogs que podrían permitir a un atacante autenticado violar instancias susceptibles, robar o borrar el código fuente e incluso instalar puertas traseras.

Las vulnerabilidades, según los investigadores de SonarSource Thomas Chauchefoin y Paul Gerste, se enumeran a continuación:

 CVE-2024-39930 ( puntuación CVSS: 9,9 ): inyección de argumentos en el servidor SSH integrado

 CVE-2024-39931 ( puntuación CVSS: 9,9 ) - Eliminación de archivos internos

 CVE-2024-39932 ( puntuación CVSS: 9,9 ): inyección de argumentos durante la vista previa de cambios

 CVE-2024-39933 ( puntuación CVSS: 7,7 ): inyección de argumentos al etiquetar nuevas versiones

La explotación exitosa de las tres primeras deficiencias podría permitir a un atacante ejecutar comandos arbitrarios en el servidor Gogs, mientras que la cuarta falla permite a los atacantes leer archivos arbitrarios, como el código fuente y secretos de configuración.

En otras palabras, al abusar de los problemas, un actor de amenazas podría leer el código fuente de la instancia, modificar cualquier código, eliminar todo el código, apuntar a hosts internos accesibles desde el servidor de Gogs y hacerse pasar por otros usuarios y obtener más privilegios.

Dicho esto, las cuatro vulnerabilidades requieren que el atacante esté autenticado. Además, la activación de CVE-2024-39930 requiere que el servidor SSH integrado esté habilitado, la versión del binario env utilizada y que el actor de la amenaza esté en posesión de una clave privada SSH válida.

"Si la instancia de Gogs tiene el registro habilitado, el atacante puede simplemente crear una cuenta y registrar su clave SSH", dijeron los investigadores. "De lo contrario, tendrían que comprometer otra cuenta o robar la clave privada SSH de un usuario".

Las instancias de Gogs que se ejecutan en Windows no son explotables, al igual que la imagen de Docker. Sin embargo, aquellos que se ejecutan en Debian y Ubuntu son vulnerables debido al hecho de que el binario env admite la opción "--split-string".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según los datos disponibles en Shodan, alrededor de 7.300 instancias de Gogs son accesibles públicamente a través de Internet, y casi el 60% de ellas se encuentran en China, seguida de Estados Unidos, Alemania, Rusia y Hong Kong.

Actualmente no está claro cuántos de estos servidores expuestos son vulnerables a las fallas antes mencionadas. SonarSource dijo que no tiene ninguna visibilidad sobre si estos problemas están siendo explotados en la naturaleza.

La firma suiza de ciberseguridad también señaló que los mantenedores del proyecto "no implementaron correcciones y dejaron de comunicarse" después de aceptar su informe inicial el 28 de abril de 2023.

En ausencia de una actualización, se recomienda a los usuarios que deshabiliten el servidor SSH integrado, desactiven el registro de usuarios para evitar la explotación masiva y consideren cambiar a Gitea. SonarSource también lanzó un parche que los usuarios pueden aplicar, pero señaló que no ha sido probado exhaustivamente.

La divulgación se produce cuando la empresa de seguridad en la nube Aqua descubrió que la información confidencial, como tokens de acceso y contraseñas, una vez codificadas, podría permanecer permanentemente expuesta incluso después de eliminarse de los sistemas de administración de código fuente (SCM) basados en Git.

Apodados secretos fantasmas, el problema surge del hecho de que no pueden ser descubiertos por ninguno de los métodos de escaneo convencionales (la mayoría de los cuales buscan secretos usando el comando "git clone") y que ciertos secretos sólo son accesibles a través de "git clone" o vistas en caché de las plataformas SCM, resaltando los puntos ciegos que dichas herramientas de escaneo pueden pasar por alto.

"Las confirmaciones siguen siendo accesibles a través de 'vistas de caché' en el SCM", dijeron los investigadores de seguridad Yakir Kadkoda e Ilay Goldman. "Básicamente, el SCM guarda el contenido de la confirmación para siempre".

"Esto significa que incluso si un secreto que contiene una confirmación se elimina tanto de la versión clonada como de la duplicada de su repositorio, aún se puede acceder a él si alguien conoce el hash de la confirmación. Pueden recuperar el contenido de la confirmación a través de la GUI de la plataforma SCM y acceder a la información filtrada. secreto."

Fuente:
The Hacker News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario