Gogs’un açık kaynaklı, kendi kendine barındırılan Git servisinde, üçü kritik olmak üzere dört adet düzeltilmemiş güvenlik açığı ortaya çıkarıldı. Bu açıklar, kimliği doğrulanmış bir saldırganın hassas örnekleri ihlal etmesine, kaynak kodunu çalmasına veya silmesine ve hatta arka kapılar yerleştirmesine olanak tanıyabilir.
SonarSource araştırmacıları Thomas Chauchefoin ve Paul Gerste’ye göre güvenlik açıkları aşağıda listelenmiştir:
- CVE-2024-39930 (CVSS puanı: 9.9) – Dahili SSH sunucusunda argüman enjeksiyonu
- CVE-2024-39931 (CVSS puanı: 9.9) – Dahili dosyaların silinmesi
- CVE-2024-39932 (CVSS puanı: 9.9) – Değişiklik önizlemesi sırasında argüman enjeksiyonu
- CVE-2024-39933 (CVSS puanı: 7.7) – Yeni sürümleri etiketlerken argüman enjeksiyonu
İlk üç eksikliğin başarılı bir şekilde istismar edilmesi, saldırganın Gogs sunucusunda keyfi komutlar yürütmesine olanak tanırken, dördüncü kusur saldırganların kaynak kodu ve yapılandırma sırları gibi keyfi dosyaları okumasına olanak tanır.
Başka bir deyişle, tehdit aktörü sorunları kötüye kullanarak örnekteki kaynak kodunu okuyabilir, herhangi bir kodu değiştirebilir, tüm kodu silebilir, Gogs sunucusundan erişilebilen dahili ana bilgisayarları hedef alabilir ve diğer kullanıcıları taklit ederek daha fazla ayrıcalık elde edebilir.
Bununla birlikte, dört güvenlik açığının hepsi saldırganın kimliğinin doğrulanmasını gerektirir. Ayrıca, CVE-2024-39930’u tetiklemek, yerleşik SSH sunucusunun etkinleştirilmesini, kullanılan env ikili dosyasının sürümünü ve tehdit aktörünün geçerli bir SSH özel anahtarına sahip olmasını gerektirir.
Araştırmacılar, “Gogs örneğinde kayıt etkinleştirilmişse, saldırgan basitçe bir hesap oluşturabilir ve SSH anahtarını kaydedebilir,” dedi. “Aksi takdirde, başka bir hesabı tehlikeye atmak veya bir kullanıcının SSH özel anahtarını çalmak zorunda kalacaklardı.”
Windows’da çalışan Gogs örnekleri, Docker imajı gibi istismar edilebilir değildir. Ancak, Debian ve Ubuntu’da çalışanlar, env ikilisinin “–split-string” seçeneğini desteklemesi nedeniyle savunmasızdır.
Shodan’da yer alan verilere göre, internet üzerinden yaklaşık 7.300 Gog örneği kamuya açık olarak bulunuyor ve bunların yaklaşık %60’ı Çin’de bulunuyor. Bunu ABD, Almanya, Rusya ve Hong Kong takip ediyor.
Şu anda bu açığa çıkan sunuculardan kaçının yukarıda belirtilen kusurlara karşı savunmasız olduğu net değil. SonarSource, bu sorunların vahşi doğada istismar edilip edilmediğine dair herhangi bir görünürlüğe sahip olmadığını söyledi.
İsviçreli siber güvenlik firması ayrıca, 28 Nisan 2023’te ilk raporunu kabul ettikten sonra proje yöneticilerinin “düzeltmeleri uygulamadığını ve iletişimi kestiğini” belirtti.
Bir güncelleme olmaması durumunda, kullanıcıların yerleşik SSH sunucusunu devre dışı bırakmaları, toplu sömürüyü önlemek için kullanıcı kaydını kapatmaları ve Gitea’ya geçmeyi düşünmeleri önerilir. SonarSource ayrıca kullanıcıların uygulayabileceği bir yama yayınladı, ancak bunun kapsamlı bir şekilde test edilmediğini belirtti.
Açıklama, bulut güvenlik firması Aqua’nın erişim belirteçleri ve parolalar gibi hassas bilgilerin, Git tabanlı kaynak kodu yönetim (SCM) sistemlerinden kaldırıldıktan sonra bile kalıcı olarak açığa çıkabileceğini keşfetmesinin ardından geldi.
Hayalet sırlar olarak adlandırılan sorun, bunların geleneksel tarama yöntemlerinden hiçbiriyle keşfedilememesinden (çoğu “git clone” komutunu kullanarak sırları arar) ve bazı sırlara yalnızca “git clone –mirror” veya SCM platformlarının önbelleğe alınmış görünümleri aracılığıyla erişilebilmesinden kaynaklanmaktadır; bu da bu tür tarama araçlarının gözden kaçırabileceği kör noktaları vurgulamaktadır.
Güvenlik araştırmacıları Yakir Kadkoda ve Ilay Goldman, “Komutlar SCM’deki ‘önbellek görünümleri’ aracılığıyla erişilebilir olmaya devam ediyor” dedi. “Esasında, SCM, taahhüt içeriğini sonsuza dek kaydeder.”
“Bu, hem klonlanmış hem de yansıtılmış deponuzdan bir commit içeren sırrın kaldırılsa bile, birisi commit karma değerini biliyorsa buna erişilebileceği anlamına gelir. SCM platformunun GUI’si aracılığıyla commit içeriğini alabilir ve sızdırılan sırrına erişebilirler.”