Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

В продуктах Gogs обнаружены критические и неисправленные 0day-уязвимости

09/07/24

hack120-Jul-09-2024-10-35-57-3990-AM

В Gogs, популярном инструменте для самоуправляемых Git-репозиториев с открытым исходным кодом, обнаружены четыре неустранённые уязвимости, три из которых являются критическими. Эти уязвимости могут позволить злоумышленнику взломать уязвимые моменты, украсть или уничтожить исходный код, а также внедрить бэкдоры, пишет Securitylab.

Томас Шошефен и Пауль Герсте, исследователи из SonarSource, указали на следующие уязвимости в своём отчете:

  • CVE-2024-39930 (CVSS 9.9) — инъекция аргументов во встроенном SSH-сервере;
  • CVE-2024-39931 (CVSS 9.9) — удаление внутренних файлов;
  • CVE-2024-39932 (CVSS 9.9) — инъекция аргументов при предпросмотре изменений;
  • CVE-2024-39933 (CVSS 7.7) — инъекция аргументов при создании новых релизов.

Эксплуатация первых трёх уязвимостей позволяет выполнять произвольные команды на сервере Gogs, а четвертая уязвимость даёт возможность читать произвольные файлы, включая исходный код и конфиденциальные настройки.

Для эксплуатации всех четырёх уязвимостей злоумышленнику необходимо быть зарегестрированным в целевой системе. В случае CVE-2024-39930 также требуется, чтобы встроенный SSH-сервер был включён, и использовалась уязвимая версия двиочного файла env. Кроме того, злоумышленник также должен обладать действительным личным SSH-ключом.

Если регистрация в Gogs включена, атакующий может просто создать новую учётную запись и зарегистрировать собственный SSH-ключ. В противном случае ему придётся взломать другую учётную запись или украсть приватный ключ SSH у действующего пользователя.

Эксперты SonarSource также отметили, что уязвимость была обнаружена более года назад, однако сопровождающие Gogs до сих пор не выпустили исправления и, фактически, не поддерживали коммуникацию с исследователями после 28 апреля 2023 года, когда подтвердили получение первого отчёта.

В связи с отсутствием обновлений пользователям рекомендуется отключить встроенный SSH-сервер, запретить регистрацию пользователей и рассмотреть возможность перехода на Gitea. Также специалисты SonarSource выпустили собственное исправление, которое пользователи Gogs могут применить для своей защиты.

Таким образом, без надлежащего внимания к безопасности даже популярные инструменты для разработчиков могут стать целью атак, что ставит под угрозу программные цепочки поставок. Этот случай служит напоминанием для разработчиков и администраторов о необходимости постоянного мониторинга и применения защитных мер для предотвращения возможных киберугроз.

Темы:УгрозыбэкдорыSonarSource
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...