Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

В продуктах Gogs обнаружены критические и неисправленные 0day-уязвимости

09/07/24

hack120-Jul-09-2024-10-35-57-3990-AM

В Gogs, популярном инструменте для самоуправляемых Git-репозиториев с открытым исходным кодом, обнаружены четыре неустранённые уязвимости, три из которых являются критическими. Эти уязвимости могут позволить злоумышленнику взломать уязвимые моменты, украсть или уничтожить исходный код, а также внедрить бэкдоры, пишет Securitylab.

Томас Шошефен и Пауль Герсте, исследователи из SonarSource, указали на следующие уязвимости в своём отчете:

  • CVE-2024-39930 (CVSS 9.9) — инъекция аргументов во встроенном SSH-сервере;
  • CVE-2024-39931 (CVSS 9.9) — удаление внутренних файлов;
  • CVE-2024-39932 (CVSS 9.9) — инъекция аргументов при предпросмотре изменений;
  • CVE-2024-39933 (CVSS 7.7) — инъекция аргументов при создании новых релизов.

Эксплуатация первых трёх уязвимостей позволяет выполнять произвольные команды на сервере Gogs, а четвертая уязвимость даёт возможность читать произвольные файлы, включая исходный код и конфиденциальные настройки.

Для эксплуатации всех четырёх уязвимостей злоумышленнику необходимо быть зарегестрированным в целевой системе. В случае CVE-2024-39930 также требуется, чтобы встроенный SSH-сервер был включён, и использовалась уязвимая версия двиочного файла env. Кроме того, злоумышленник также должен обладать действительным личным SSH-ключом.

Если регистрация в Gogs включена, атакующий может просто создать новую учётную запись и зарегистрировать собственный SSH-ключ. В противном случае ему придётся взломать другую учётную запись или украсть приватный ключ SSH у действующего пользователя.

Эксперты SonarSource также отметили, что уязвимость была обнаружена более года назад, однако сопровождающие Gogs до сих пор не выпустили исправления и, фактически, не поддерживали коммуникацию с исследователями после 28 апреля 2023 года, когда подтвердили получение первого отчёта.

В связи с отсутствием обновлений пользователям рекомендуется отключить встроенный SSH-сервер, запретить регистрацию пользователей и рассмотреть возможность перехода на Gitea. Также специалисты SonarSource выпустили собственное исправление, которое пользователи Gogs могут применить для своей защиты.

Таким образом, без надлежащего внимания к безопасности даже популярные инструменты для разработчиков могут стать целью атак, что ставит под угрозу программные цепочки поставок. Этот случай служит напоминанием для разработчиков и администраторов о необходимости постоянного мониторинга и применения защитных мер для предотвращения возможных киберугроз.

Темы:УгрозыбэкдорыSonarSource
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...