Gogs, birçok geliştirici tarafından kullanılan standart bir açık kaynak kodlu barındırma sistemidir.
SonarSource siber güvenlik araştırmacıları tarafından son zamanlarda birkaç Gogs açığı keşfedildi.
Gogs, bu kusurlar yoluyla hacklenebilir ve bu da örneklerini kaynak kodu hırsızlığı, arka kapı yerleştirme ve kod kaldırma riskine sokar.
Gog’daki Güvenlik Açıkları
Gogs’un 44.000’den fazla GitHub yıldızı ve 90 milyon Docker imajı indirmesiyle yaygın bir şekilde kullanılmasına rağmen, bu güvenlik açıkları henüz yamalanmamış durumda.
Bu bulgu, geliştirme araçlarının ve kendi kendine barındırılan kod depolarının güvenliğinin sağlanması gerekliliğini vurgulamaktadır.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Gogs’un yerleşik SSH sunucusunda, kimliği doğrulanmış saldırganların sunucuda herhangi bir komutu çalıştırmasına olanak tanıyan bir Argüman Enjeksiyonu Güvenlik Açığı bulunuyor.
Bu güvenlik açığı ‘–bölünmüş-dize‘env’ komutunda güvenlik önlemlerini aşmak için ‘seçeneğini kullanın.
Sonuç olarak, bu güvenlik açığı en son Gogs sürümünde (0.13.0) bile yamalanmamış olarak kalmaya devam ediyor.
SonarSource raporuna göre, bu güvenlik sorunu Shodan’daki yaklaşık 7.300 açık Gogs örneğinde ortaya çıktı ve bu durum kod barındırma için Gogs kullanan birçok kuruluş için kaynak kodu bütünlüğünü ve sunucu korumasını büyük ölçüde tehlikeye atıyor.
.webp)
Gogs SSH sunucusundaki güvenlik açığından yararlanabilmek için üç koşulun karşılanması gerekir:
- Dahili SSH sunucusunun açık olması gerekiyor.
- Gerçek bir SSH anahtarına ihtiyaç vardır.
- “env -–split-string” uyumlu sürümünün kullanımı.
Sömürülebilir kurulumlar genellikle Ubuntu veya Debian’daki GNU çekirdek yardımcı programlarını kullanırken, Alpine Linux tabanlı Docker imajları ve Windows kurulumları etkilenmez.
Kayıt etkinleştirilirse, saldırganlar kolayca hesap oluşturabilir ve SSH anahtarları ekleyebilir. Yöneticiler, yönetici panelindeki SSH ayarlarını kontrol ederek ve ‘env –help’in seçenekleri arasında ‘–split-string’i gösterip göstermediğine bakarak bu güvenlik açığını doğrulayabilirler.
Gogs bakımcıları, ilk etapta güvenlik açığı raporlarını kabul ettikten sonra iletişimi kesti ve bildirilen dört sorunun hiçbiri son sürümde düzeltilmeden bırakıldı.
Sonuç olarak, kullanıcıların kurulumlarını korumak için kendi önlemlerini uygulamaları gerekir.
Öneriler
Aşağıda güvenlik analistleri tarafından sağlanan tüm önerileri ve hafifletmeleri belirttik:
- Yerleşik SSH sunucusunu devre dışı bırakın
- Kullanıcı kaydını devre dışı bırak
- Gitea’ya geç
- Dahili SSH sunucusunda Argüman Enjeksiyonu
- Yeni sürümleri etiketlerken Argüman Enjeksiyonu
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files