Skip to main content

Advertencia: Git tiene una vulnerabilidad crítica que puede provocar la ejecución remota de código al clonar un repositorio

mayo 22, 2024


Software afectado:

Git anterior a las versiones 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 y 2.39.4

Tipo:

• CWE-22: Limitación inadecuada de un nombre de ruta a un directorio restringido («Path Traversal»), CWE-434: Carga sin restricciones de un archivo con un tipo peligroso

CVE/CVSS:

CVE-2024-32002: CVSS 9.1(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)

Fuentes

https://nvd.nist.gov/vuln/detail/CVE-2024-32002

https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv

Riesgos

La vulnerabilidad en Git anterior a las versiones 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 y 2.39.4 se debe al manejo inadecuado de enlaces simbólicos y sistemas de archivos que no distinguen entre mayúsculas y minúsculas durante la Clonación de repositorios con submódulos.

Una explotación exitosa puede permitir a un atacante ejecutar código arbitrario con los mismos privilegios que el usuario que ejecuta Git sin que este usuario pueda inspeccionar este código. Esto tiene un alto impacto en la confidencialidad, la integridad y la disponibilidad. Al momento de escribir este artículo aún no se ha observado ninguna explotación activa de esta vulnerabilidad, pero hay una prueba de concepto disponible.

Descripción

CVE-2024-32002, con una puntuación CVSS de 9,1, es una vulnerabilidad en Git, donde se puede engañar al clonar repositorios maliciosos con submódulos para escribir en el directorio ‘.git/’ en lugar del árbol de trabajo del submódulo explotando un caso- conflicto de nombres sensible entre un directorio y un enlace simbólico. De esta manera, un atacante podría escribir un gancho que se ejecutará durante la clonación sin que el usuario pueda inspeccionar primero el repositorio. Este ataque sólo funciona si la compatibilidad con enlaces simbólicos está habilitada.

Acciones recomendadas

Parche

El Centro de Ciberseguridad de Bélgica recomienda encarecidamente instalar actualizaciones para dispositivos vulnerables con la máxima prioridad, después de realizar pruebas exhaustivas.

  • Versiones afectadas: v2.45.0 v2.44.0
  • Versiones parcheadas: v2.45.1 v2.44.1 v2.43.4 v2.42.2 v2.41.1 v2.40.2 v2.39.4

También hay una solución alternativa descrita en el aviso de GitHub, es decir, deshabilitar la compatibilidad con enlaces simbólicos mediante el comando: `git config –global core.symlinks false`.

Monitorear/Detectar

La CCB recomienda que las organizaciones mejoren sus capacidades de monitoreo y detección para identificar cualquier actividad sospechosa relacionada, asegurando una respuesta rápida en caso de una intrusión.

En caso de intrusión, puedes reportar una incidencia a través de: https://cert.be/es/reportar-incidente

Si bien aplicar parches a los dispositivos o al software a la versión más reciente puede brindar seguridad contra futuras explotaciones, no soluciona el compromiso histórico.

Referencias

https://access.redhat.com/security/cve/cve-2024-32002



Source link

Translate »