Kritiek lek in Git-service Gogs maakt remote code execution mogelijk

In dit artikel:

Cybersecuritybedrijf Rapid7 waarschuwt voor een kritieke kwetsbaarheid in Gogs, de zelf-gehoste Git-service die als alternatief voor GitHub/GitLab wordt gebruikt. De fout maakt remote code execution mogelijk: een geauthenticeerde gebruiker kan via een pull request met een kwaadaardige branchnaam willekeurige code op de server uitvoeren. Voor de exploit zijn geen adminrechten of interactie met andere gebruikers nodig; een aanvaller kan het vanaf zijn eigen account uitvoeren. Omdat Gogs vaak standaard open registratie en onbeperkt aanmaken van repositories toestaat, kan een ongeauthenticeerde aanvaller op zo’n installatie eenvoudig een account en repository aanmaken en vervolgens de server compromitteren.

Rapid7 meldde het probleem op 17 maart aan de maintainers; op 28 maart werd de bugmelding bevestigd, maar sindsdien is volgens de onderzoekers nauwelijks gereageerd en is er nog geen beveiligingsupdate vrijgegeven. Shodan toont meer dan 1.100 publiek toegankelijke Gogs-instanties, terwijl het werkelijke aantal hoger ligt vanwege installs achter VPN of intern. Een succesvolle aanval kan leiden tot uitlekken van wachtwoordhashes, API-tokens, SSH-keys en 2FA-secrets, lezen en aanpassen van repositories en laterale beweging binnen netwerken. Als tijdelijke mitigatie raadt Rapid7 aan registraties en het aanmaken van repositories te beperken, toegang te beperken via firewalls/VPN en credentials te monitoren en te roteren. Eerder dit jaar waarschuwde CISA ook al voor actief misbruik van een ander Gogs-lek.