Gogs zero-day otvara put daljinskom izvršavanju koda na poslužiteljima

SecurityWeek navodi da je popularni samostalno hostani open source Git servis Gogs pogođen kritičnim zero-day propustom koji može dovesti do daljinskog izvršavanja koda na poslužiteljima. Riječ je o argument injection ranjivosti s oznakom CVSS 9,4, a Rapid7 kaže da se može iskoristiti putem pull requestova s malicioznim nazivima grana.

Rapid7 u tehničkom izvješću objašnjava da pull request tijekom operacije „Rebase before merging” može umetnuti zastavicu –exec u git rebase, nakon čega dolazi do izvršavanja naredbi s privilegijama korisnika pod kojim radi Gogs proces. Ta opcija nije uključena zadano, ali je može uključiti vlasnik ili administrator repozitorija. Gogs također po zadanim postavkama dopušta otvorenu registraciju, a svaki registrirani korisnik automatski postaje vlasnik repozitorija koje sam stvori.

Prema Rapid7, do iskorištavanja može doći bez interakcije drugih korisnika jer napadač djeluje unutar vlastitog računa i vlastitog repozitorija. Ako je rebase spajanje uključeno, napadač s pravom pisanja u repozitorij može izravno pokrenuti napad. Zbog nedovoljnih provjera i sanitizacije ulaza, naziv grane može sadržavati dodatne argumente koji se zatim izvršavaju nakon svakog replayanog commita.

Rapid7 navodi da bi posljedica mogla biti arbitrarno izvršavanje naredbi kao korisnik Gogs server procesa, uz mogućnost kompromitiranja poslužitelja, čitanja svih repozitorija na instanci, uključujući privatne repozitorije drugih korisnika, te izvlačenja vjerodajnica poput hashiranih lozinki, API tokena, SSH ključeva i 2FA tajni. U istom izvješću se spominje i mogućnost daljnjeg kretanja prema drugim mrežno dostupnim sustavima te izmjene koda u bilo kojem hostanom repozitoriju. Rapid7 dodaje da su pogođene Windows, Linux i macOS instance s zadanim konfiguracijama.

Tvrtka je objavila Metasploit modul koji automatizira cijeli lanac iskorištavanja te IoC pokazatelje kompromitacije za traganje po mogućim upadima. Održavatelji Gogs-a obaviješteni su sredinom ožujka i potvrdili su primitak prijave, ali zaključno s vremenom objave zakrpa još nije bila izdana. SecurityWeek podsjeća i da je ovo drugi javno otkriveni Gogs zero-day u proteklih pola godine, nakon ranjivosti koju je u prosincu opisao Wiz.