Critical Unpatched Flaws Disclosed in Popular Gogs Open-Source Git Service – OfficialSarkar
रिपोर्ट में चार सुरक्षा खामियों का खुलासा किया गया है, जिनमें तीन गंभीर खामियां शामिल हैं। गोग्स ओपन-सोर्स, स्व-होस्टेड Git सेवा जो किसी प्रमाणित हमलावर को संवेदनशील इंस्टैंस में सेंध लगाने, स्रोत कोड को चुराने या मिटाने, और यहां तक कि बैकडोर लगाने में सक्षम बना सकती है।
सोनारसोर्स के शोधकर्ता थॉमस चौचेफॉइन और पॉल गर्स्टे के अनुसार, कमजोरियां नीचे सूचीबद्ध हैं –
- सीवीई-2024-39930 (CVSS स्कोर: 9.9) – अंतर्निहित SSH सर्वर में तर्क इंजेक्शन
- सीवीई-2024-39931 (CVSS स्कोर: 9.9) – आंतरिक फ़ाइलों का विलोपन
- सीवीई-2024-39932 (CVSS स्कोर: 9.9) – परिवर्तन पूर्वावलोकन के दौरान तर्क इंजेक्शन
- सीवीई-2024-39933 (CVSS स्कोर: 7.7) – नई रिलीज़ को टैग करते समय तर्क इंजेक्शन
पहली तीन कमियों का सफल दोहन हमलावर को गोग्स सर्वर पर मनमाने आदेशों को निष्पादित करने की अनुमति दे सकता है, जबकि चौथी खामी हमलावरों को स्रोत कोड और कॉन्फ़िगरेशन सीक्रेट्स जैसी मनमाने फाइलों को पढ़ने की अनुमति देती है।
दूसरे शब्दों में, मुद्दों का दुरुपयोग करके, कोई खतरा पैदा करने वाला व्यक्ति इंस्टैंस पर स्रोत कोड पढ़ सकता है, किसी भी कोड को संशोधित कर सकता है, सभी कोड को हटा सकता है, गॉग्स सर्वर से पहुंच योग्य आंतरिक होस्ट को लक्षित कर सकता है, तथा अन्य उपयोगकर्ताओं का प्रतिरूपण कर सकता है और अधिक विशेषाधिकार प्राप्त कर सकता है।
ऐसा कहा जाता है कि, सभी चार कमज़ोरियों के लिए हमलावर का प्रमाणित होना ज़रूरी है। इसके अलावा, CVE-2024-39930 को ट्रिगर करने के लिए यह ज़रूरी है कि बिल्ट-इन SSH सर्वर सक्षम हो, env बाइनरी का इस्तेमाल किया गया वर्शन हो और ख़तरा पैदा करने वाले के पास वैध SSH निजी कुंजी हो।
शोधकर्ताओं ने कहा, “यदि गोग्स इंस्टैंस में पंजीकरण सक्षम है, तो हमलावर आसानी से एक खाता बना सकता है और अपनी एसएसएच कुंजी पंजीकृत कर सकता है।” कहा“अन्यथा, उन्हें किसी अन्य खाते से समझौता करना होगा या किसी उपयोगकर्ता की SSH निजी कुंजी चुरानी होगी।”
विंडोज पर चलने वाले गॉग्स इंस्टेंस का शोषण नहीं किया जा सकता, जैसा कि डॉकर इमेज का है। हालांकि, डेबियन और उबंटू पर चलने वाले इंस्टेंस इस तथ्य के कारण असुरक्षित हैं कि env बाइनरी “–split-string” विकल्प का समर्थन करता है।
शोडान पर उपलब्ध आंकड़ों के अनुसार, लगभग 7,300 गोग्स इंस्टैंस इंटरनेट पर सार्वजनिक रूप से उपलब्ध हैं, जिनमें से लगभग 60% चीन में स्थित हैं, इसके बाद अमेरिका, जर्मनी, रूस और हांगकांग का स्थान है।
फिलहाल यह स्पष्ट नहीं है कि इनमें से कितने सर्वर ऊपर बताई गई खामियों के प्रति संवेदनशील हैं। सोनारसोर्स ने कहा कि उसे इस बारे में कोई जानकारी नहीं है कि इन समस्याओं का खुलेआम फायदा उठाया जा रहा है या नहीं।
स्विस साइबर सुरक्षा फर्म ने यह भी बताया कि परियोजना अनुरक्षकों ने 28 अप्रैल, 2023 को इसकी प्रारंभिक रिपोर्ट स्वीकार करने के बाद “सुधारों को लागू नहीं किया और संवाद करना बंद कर दिया”।
अपडेट न होने की स्थिति में, उपयोगकर्ताओं को अंतर्निहित SSH सर्वर को अक्षम करने, सामूहिक शोषण को रोकने के लिए उपयोगकर्ता पंजीकरण को बंद करने और Gitea पर स्विच करने पर विचार करने की सलाह दी जाती है। एक पैच जारी किया जिसे उपयोगकर्ता लागू कर सकते हैं, लेकिन ध्यान दें कि इसका व्यापक परीक्षण नहीं किया गया है।
यह खुलासा ऐसे समय में हुआ है जब क्लाउड सुरक्षा फर्म एक्वा ने पाया कि एक्सेस टोकन और पासवर्ड जैसी संवेदनशील जानकारी एक बार हार्ड-कोड हो जाने के बाद भी Git-आधारित स्रोत कोड प्रबंधन (SCM) प्रणालियों से हटा दिए जाने के बाद भी स्थायी रूप से उजागर रह सकती है।
प्रेत रहस्यों के नाम से प्रसिद्ध यह मुद्दा इस तथ्य से उत्पन्न होता है कि इन्हें किसी भी पारंपरिक स्कैनिंग विधि द्वारा नहीं खोजा जा सकता है – जिनमें से अधिकांश “git clone” कमांड का उपयोग करके रहस्यों की खोज करते हैं – और कुछ रहस्यों को केवल “git clone –mirror” या SCM प्लेटफार्मों के कैश्ड दृश्यों के माध्यम से ही एक्सेस किया जा सकता है, जो उन अंधे स्थानों को उजागर करता है जिन्हें ऐसे स्कैनिंग उपकरण अनदेखा कर सकते हैं।
सुरक्षा शोधकर्ता याकिर काडकोडा और इले गोल्डमैन ने कहा, “एससीएम पर ‘कैश व्यू’ के माध्यम से कमिट्स सुलभ रहते हैं।” कहा“अनिवार्यतः, SCM प्रतिबद्ध सामग्री को हमेशा के लिए सहेज लेता है।”
“इसका मतलब यह है कि भले ही कमिट युक्त कोई सीक्रेट आपके रिपॉजिटरी के क्लोन और मिरर्ड दोनों संस्करणों से हटा दिया गया हो, फिर भी अगर किसी को कमिट हैश पता है तो उसे एक्सेस किया जा सकता है। वे SCM प्लेटफ़ॉर्म के GUI के माध्यम से कमिट सामग्री को पुनः प्राप्त कर सकते हैं और लीक हुए सीक्रेट को एक्सेस कर सकते हैं।”
Source: TheHackerNews
