Cyberbezpieczeństwo
Poważne podatności w Gogs. Twórcy milczą od miesięcy
Autor. https://github.com/gogs/gogs
Gogs to otwartoźródłowe oprogramowanie, które pozwala na lokalne hostowanie Git (kontroli wersji). Jego obraz Dockera został pobrany ponad 90 milionów razy. W kwietniu 2023 roku SonarSource zgłosił do Gogs kilka poważnych podatności, które do dziś nie zostały załatane.
Poprawki bezpieczeństwa w wolnym oprogramowaniu mogą być wprowadzane błyskawicznie. Umożliwia to również zastosowanie Git, gdzie publiczne projekty hostowane np. na GitHubie mogą być na bieżąco poprawiane przez społeczność.
W tym przypadku problem dotyczy Gogs, którego ostatnia wersja została opublikowana w lutym 2023 roku. Wykorzystanie podatności w praktyce jest bardzo trudne do wykrycia.
Znalezione luki bezpieczeństwa i ich skala
SonarSource podaje, że udało się im zidentyfikować cztery podatności w Gogs. Trzy z nich zostały określone jako argument injection, m.in. we wbudowanym serwerze SSH. Jedna z nich pozwalała na usuwanie plików wewnątrz systemu.
Według SecurityOnline podatności pozwalają na „kradzież kodu źródłowego, zamieszczanie backdoorów, usuwanie całych repozytoriów kodu i skompromitowanie serwera”.
Wyszukiwanie na Shodanie z wykorzystaniem filtru http.component:”gogs” zwraca ponad siedem tysięcy instancji Gogs. Ponad połowa znalezionych urządzeń pochodzi z Chin.
Autor. https://www.shodan.io/search?query=http.component%3A%22gogs%22
Jak wykorzystać podatność?
Do wykorzystania podatności na danej instancji musi być uruchomiony serwer SSH. Wymagane jest również uwierzytelnienie przy wykorzystaniu klucza prywatnego. Niestety w niektórych serwerach można utworzyć nowe konto, które używa uwierzytelniania z wykorzystaniem wspomnianego klucza.
Luka bezpieczeństwa jest możliwa do wykorzystania na Linuksach z wersją env obsługującą parametr —split-string. Oznacza to, że podatne są m.in. Debian i Ubuntu.
Czytaj też
Podejście twórców
20 kwietnia 2023 roku Gogs został poinformowany o lukach bezpieczeństwa wraz z 90-dniową klauzulą w odniesieniu do publikacji informacji o podatności. Poprawki nie zostały opublikowane, dlatego 2 października SonarSource wysłało prośbę o możliwość wgrania poprawek na GitHubie. 5 grudnia Gogs odpowiedziało, że pracują nad sprawą. To była ostatnia odpowiedź od twórców oprogramowania, dlatego 2 lipca 2024 roku został opublikowany raport.
Zachowanie twórców polegające na jawnym lekceważeniu podatności jest niezrozumiałe i szkodliwe dla otwartego oprogramowania.
Nie ma poprawek, ale jest rozwiązanie
Jednym z zaleceń jest przejście z Gogs na Gitea, które jest stale wspierane przez twórców. SonarSource opublikowało również nieoficjalne poprawki bezpieczeństwa, lecz nie zostały przez nich odpowiednio przetestowane i nie dają żadnych gwarancji.
Autor. https://www.sonarsource.com/blog/securing-developer-tools-unpatched-code-vulnerabilities-in-gogs-1/
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
