Poważne podatności w Gogs. Twórcy milczą od miesięcy

Poprawki bezpieczeństwa w wolnym oprogramowaniu mogą być wprowadzane błyskawicznie. Umożliwia to również zastosowanie Git, gdzie publiczne projekty hostowane np. na GitHubie mogą być na bieżąco poprawiane przez społeczność.

W tym przypadku problem dotyczy Gogs, którego ostatnia wersja została opublikowana w lutym 2023 roku. Wykorzystanie podatności w praktyce jest bardzo trudne do wykrycia.

Znalezione luki bezpieczeństwa i ich skala

SonarSource podaje, że udało się im zidentyfikować cztery podatności w Gogs. Trzy z nich zostały określone jako argument injection, m.in. we wbudowanym serwerze SSH. Jedna z nich pozwalała na usuwanie plików wewnątrz systemu.

Według SecurityOnline podatności pozwalają na „kradzież kodu źródłowego, zamieszczanie backdoorów, usuwanie całych repozytoriów kodu i skompromitowanie serwera”.

Wyszukiwanie na Shodanie z wykorzystaniem filtru http.component:”gogs” zwraca ponad siedem tysięcy instancji Gogs. Ponad połowa znalezionych urządzeń pochodzi z Chin.

Jak wykorzystać podatność?

Do wykorzystania podatności na danej instancji musi być uruchomiony serwer SSH. Wymagane jest również uwierzytelnienie przy wykorzystaniu klucza prywatnego. Niestety w niektórych serwerach można utworzyć nowe konto, które używa uwierzytelniania z wykorzystaniem wspomnianego klucza.

Luka bezpieczeństwa jest możliwa do wykorzystania na Linuksach z wersją env obsługującą parametr —split-string. Oznacza to, że podatne są m.in. Debian i Ubuntu.

Podejście twórców

20 kwietnia 2023 roku Gogs został poinformowany o lukach bezpieczeństwa wraz z 90-dniową klauzulą w odniesieniu do publikacji informacji o podatności. Poprawki nie zostały opublikowane, dlatego 2 października SonarSource wysłało prośbę o możliwość wgrania poprawek na GitHubie. 5 grudnia Gogs odpowiedziało, że pracują nad sprawą. To była ostatnia odpowiedź od twórców oprogramowania, dlatego 2 lipca 2024 roku został opublikowany raport.

Zachowanie twórców polegające na jawnym lekceważeniu podatności jest niezrozumiałe i szkodliwe dla otwartego oprogramowania.

Nie ma poprawek, ale jest rozwiązanie

Jednym z zaleceń jest przejście z Gogs na Gitea, które jest stale wspierane przez twórców. SonarSource opublikowało również nieoficjalne poprawki bezpieczeństwa, lecz nie zostały przez nich odpowiednio przetestowane i nie dają żadnych gwarancji.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].