08 de julio de 2024Sala de prensaVulnerabilidad / Seguridad del software Se han revelado cuatro fallas de seguridad sin parchear, incluidas tres críticas, en el servicio Git autohospedado de código abierto Gogs que podrían permitir a un atacante autenticado violar instancias susceptibles, robar o borrar el código fuente e incluso instalar puertas traseras. Las vulnerabilidades, según los investigadores de SonarSource Thomas Chauchefoin y Paul Gerste, se enumeran a continuación: CVE-2024-39930 (puntuación CVSS: 9,9) – Inyección de argumentos en el servidor SSH integrado CVE-2024-39931 (puntuación CVSS: 9,9) – Eliminación de archivos internos CVE-2024-39932 (puntuación CVSS: 9,9) – Inyección de argumentos durante la vista previa de los cambios CVE-2024-39933 (puntuación CVSS: 7,7) – Inyección de argumentos al etiquetar nuevos lanzamientos La explotación exitosa de las primeras tres deficiencias podría permitir a un atacante ejecutar comandos arbitrarios en el servidor Gogs, mientras que la cuarta falla permite a los atacantes leer archivos arbitrarios como el código fuente y los secretos de configuración. En otras palabras, al abusar de los problemas, un actor de amenazas podría leer el código fuente de la instancia, modificar cualquier código, eliminar todo el código, apuntar a hosts internos accesibles desde el servidor Gogs y suplantar a otros usuarios y obtener más privilegios. Dicho esto, las cuatro vulnerabilidades requieren que el atacante esté autenticado. Además, para activar CVE-2024-39930 es necesario que el servidor SSH integrado esté habilitado, que se utilice la versión del binario env y que el actor de amenazas esté en posesión de una clave privada SSH válida. «Si la instancia Gogs tiene habilitado el registro, el atacante puede simplemente crear una cuenta y registrar su clave SSH», dijeron los investigadores. «De lo contrario, tendrían que comprometer otra cuenta o robar la clave privada SSH de un usuario». Las instancias Gogs que se ejecutan en Windows no son explotables, al igual que la imagen Docker. Sin embargo, las que se ejecutan en Debian y Ubuntu son vulnerables debido al hecho de que el binario env admite la opción «–split-string». Según los datos disponibles en Shodan, alrededor de 7.300 instancias de Gogs son accesibles públicamente a través de Internet, y casi el 60% de ellas se encuentran en China, seguida de Estados Unidos, Alemania, Rusia y Hong Kong. Actualmente no está claro cuántos de estos servidores expuestos son vulnerables a las fallas mencionadas anteriormente. SonarSource dijo que no tiene visibilidad sobre si estos problemas están siendo explotados en la naturaleza. La firma suiza de ciberseguridad también señaló que los mantenedores del proyecto «no implementaron correcciones y dejaron de comunicarse» después de aceptar su informe inicial el 28 de abril de 2023. En ausencia de una actualización, se recomienda a los usuarios que deshabiliten el servidor SSH integrado, desactiven el registro de usuarios para evitar la explotación masiva y consideren cambiar a Gitea. SonarSource también ha lanzado un parche que los usuarios pueden aplicar, pero señaló que no se ha probado exhaustivamente. La revelación se produce cuando la firma de seguridad en la nube Aqua descubrió que la información confidencial, como los tokens de acceso y las contraseñas, una vez codificados, podrían permanecer expuestos permanentemente incluso después de la eliminación de los sistemas de administración de código fuente (SCM) basados ​​en Git. El problema, denominado «secretos fantasma», se debe a que no se pueden descubrir con ninguno de los métodos de escaneo convencionales (la mayoría de los cuales buscan secretos usando el comando «git clone») y a que ciertos secretos solo son accesibles a través de «git clone –mirror» o vistas en caché de plataformas SCM, lo que resalta los puntos ciegos que pueden pasar por alto dichas herramientas de escaneo. «Las confirmaciones siguen siendo accesibles a través de ‘vistas en caché’ en el SCM», dijeron los investigadores de seguridad Yakir Kadkoda e Ilay Goldman. «Básicamente, el SCM guarda el contenido de la confirmación para siempre». «Esto significa que incluso si se elimina un secreto que contiene una confirmación tanto de la versión clonada como de la duplicada de su repositorio, aún se puede acceder a él si alguien conoce el hash de la confirmación. Pueden recuperar el contenido de la confirmación a través de la GUI de la plataforma SCM y acceder al secreto filtrado». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.