Advertencia: Git tiene una vulnerabilidad crítica que puede provocar la ejecución remota de código al clonar un repositorio
Software afectado:
Git anterior a las versiones 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 y 2.39.4
Tipo:
• CWE-22: Limitación inadecuada de un nombre de ruta a un directorio restringido («Path Traversal»), CWE-434: Carga sin restricciones de un archivo con un tipo peligroso
CVE/CVSS:
CVE-2024-32002: CVSS 9.1(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)
Fuentes
https://nvd.nist.gov/vuln/detail/CVE-2024-32002
https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv
Riesgos
La vulnerabilidad en Git anterior a las versiones 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 y 2.39.4 se debe al manejo inadecuado de enlaces simbólicos y sistemas de archivos que no distinguen entre mayúsculas y minúsculas durante la Clonación de repositorios con submódulos.
Una explotación exitosa puede permitir a un atacante ejecutar código arbitrario con los mismos privilegios que el usuario que ejecuta Git sin que este usuario pueda inspeccionar este código. Esto tiene un alto impacto en la confidencialidad, la integridad y la disponibilidad. Al momento de escribir este artículo aún no se ha observado ninguna explotación activa de esta vulnerabilidad, pero hay una prueba de concepto disponible.
Descripción
CVE-2024-32002, con una puntuación CVSS de 9,1, es una vulnerabilidad en Git, donde se puede engañar al clonar repositorios maliciosos con submódulos para escribir en el directorio ‘.git/’ en lugar del árbol de trabajo del submódulo explotando un caso- conflicto de nombres sensible entre un directorio y un enlace simbólico. De esta manera, un atacante podría escribir un gancho que se ejecutará durante la clonación sin que el usuario pueda inspeccionar primero el repositorio. Este ataque sólo funciona si la compatibilidad con enlaces simbólicos está habilitada.
Acciones recomendadas
Parche
El Centro de Ciberseguridad de Bélgica recomienda encarecidamente instalar actualizaciones para dispositivos vulnerables con la máxima prioridad, después de realizar pruebas exhaustivas.
- Versiones afectadas: v2.45.0 v2.44.0
- Versiones parcheadas: v2.45.1 v2.44.1 v2.43.4 v2.42.2 v2.41.1 v2.40.2 v2.39.4
También hay una solución alternativa descrita en el aviso de GitHub, es decir, deshabilitar la compatibilidad con enlaces simbólicos mediante el comando: `git config –global core.symlinks false`.
Monitorear/Detectar
La CCB recomienda que las organizaciones mejoren sus capacidades de monitoreo y detección para identificar cualquier actividad sospechosa relacionada, asegurando una respuesta rápida en caso de una intrusión.
En caso de intrusión, puedes reportar una incidencia a través de: https://cert.be/es/reportar-incidente
Si bien aplicar parches a los dispositivos o al software a la versión más reciente puede brindar seguridad contra futuras explotaciones, no soluciona el compromiso histórico.
Referencias