En kritisk Gogs-nolldagssårbarhet har åtgärdats efter att forskare upptäckte en brist som kunde göra det möjligt för autentiserade användare att köra godtycklig kod på sårbara servrar. Problemet påverkade den öppenkällkodsbaserade självhostade Git-tjänsten och utsatte organisationer för risker eftersom angripare kunde kompromettera servrar via en funktion som ofta används vid kodgranskningar.

Säkerhetsforskare varnade för att angripare kunde utnyttja sårbarheten med relativt liten ansträngning. Därför släppte utvecklarna säkerhetsuppdateringar omgående och uppmanade administratörer att uppdatera sina installationer utan dröjsmål.

Sårbarhet upptäcktes i funktion för pull requests

Forskarna identifierade bristen i Gogs-funktionen ”Rebase before merge”, som utvecklare använder för att integrera kodändringar från pull requests. Under analysen upptäckte de att angripare kunde skapa särskilt utformade grennamn som innehöll skadliga kommandon.

När systemet genomförde rebase-processen kunde dessa kommandon köras direkt på den underliggande servern. Eftersom kommandona kördes med samma behörigheter som Gogs-tjänsten kunde angripare få omfattande kontroll över de drabbade systemen.

Sårbarheten fick CVSS-poängen 9,4, vilket placerar den i den kritiska allvarlighetskategorin.

Angripare behövde endast ett vanligt konto

En av de mest oroande aspekterna av Gogs-nolldagen var den låga tröskeln för exploatering. Angripare behövde inte administratörsbehörighet för att utnyttja bristen.

I många standardinstallationer kunde en hotaktör registrera ett nytt konto, skapa ett arkiv och skicka in en skadlig pull request. Attacken krävde inga särskilda rättigheter utöver möjligheten att använda plattformen som en vanlig användare.

Detta ökade risken betydligt för internetanslutna Gogs-instanser som tillät offentliga registreringar eller samarbete med externa utvecklare.

Forskarna noterade att en lyckad attack kunde ge fullständig fjärrkörning av kod. Därmed kunde angripare installera skadlig programvara, stjäla känslig information, ändra kodarkiv eller etablera långvarig åtkomst i komprometterade miljöer.

Över 1 000 instanser kan ha varit exponerade

Säkerhetsforskare identifierade fler än 1 100 publikt tillgängliga Gogs-instanser som verkade vara sårbara när information om bristen blev känd. Det verkliga antalet kan dock ha varit betydligt högre eftersom många organisationer använder privata installationer som inte syns i publika internetsökningar.

Gogs är fortfarande ett populärt alternativ för organisationer som vill ha större kontroll över sin källkodsinfrastruktur. Många installationer innehåller interna projekt, proprietär programvara och utvecklingsmiljöer som kan vara attraktiva mål för angripare.

Om angripare komprometterar sådana miljöer kan de få tillgång till känslig källkod, autentiseringsuppgifter, distributionskedjor och andra viktiga utvecklingsresurser.

Utvecklarna släppte en akut säkerhetsuppdatering

Sårbarheten offentliggjordes först som en nolldagssårbarhet innan någon korrigering fanns tillgänglig. Därför växte oron för att hotaktörer snabbt skulle börja angripa exponerade servrar.

Gogs-utvecklarna har nu släppt uppdateringar som åtgärdar kommandoinjektionsproblemet och stoppar skadliga grennamn från att utlösa godtycklig kodkörning.

Säkerhetsexperter rekommenderar att administratörer installerar de senaste uppdateringarna omedelbart. Dessutom bör de granska systemloggar efter misstänkt aktivitet kopplad till pull requests, oväntade kontoregistreringar eller ovanliga ändringar i kodarkiv som kan tyda på tidigare intrångsförsök.

Slutsats

Gogs-nolldagen visar hur sårbarheter i utvecklingsplattformar kan skapa allvarliga säkerhetsrisker för organisationer. En brist i en rutinmässig funktion för kodhantering räckte för att utsätta servrar för fjärrkörning av kod och potentiell kompromettering.

Organisationer som använder självhostade Git-tjänster bör prioritera uppdateringar av sårbara installationer och regelbundet granska sina åtkomstkontroller. Samtidigt fortsätter angripare att rikta in sig på utvecklingsinfrastruktur, vilket gör skyddet av källkodsplattformar till en viktig del av det övergripande cybersäkerhetsarbetet.


0 svar till ”Gogs noll-dagarskorrigering åtgärdar kritisk RCE-sårbarhet”