Nivel de peligrosidad: ALTO
Se ha descubierto una vulnerabilidad en el popular software de gestión de versiones Git que podría permitir a un posible atacante obtener las credenciales de usuario a través de una URL especialmente diseñada. Git emplea programas externos de gestión de credenciales para facilitar el almacenamiento y recuperación de contraseñas que permite a un atacante la inyección de código en una URL. Una vez que el usuario ejecutase git clone URL con la URL maliciosa, el gestor de las credenciales recuperaría la contraseña del servidor enviándolas en segundo plano al atacante. Hay que tener en cuenta que este tipo de URLs son especialmente sospechosas, si bien, el atacante podría camuflarla a través de submódulos de Git o sistemas de paquetes asociados a este que se ejecutan en segundo plano y, por lo tanto, no son visibles para el usuario.
La base de datos del NIST ha otorgado a la vulnerabilidad una puntuación de 7.5 según la escala CVSSv3. Esto es debido a que el fallo es explotable de forma remota, con una complejidad baja, no es requerida autenticación alguna y una explotación exitosa supondría un impacto completo en la confidencialidad, sin que se vean afectadas la integridad y disponibilidad. Por el momento, no se ha detectado actividad maliciosa en la red relacionada con la vulnerabilidad, ni la existencia de exploit. No obstante, el investigador que reportó la vulnerabilidad ofrece prueba de concepto (PoC) en su aviso.
Recursos afectados:
- Git 2.26.0
- Git 2.25.x hasta 2.25.2
- Git 2.24.x hasta 2.24.1
- Git 2.23.x hasta 2.23.1
- Git 2.22.x hasta 2.22.2
- Git 2.21.x hasta 2.21.1
- Git 2.20.x hasta 2.20.2
- Git 2.19.x hasta 2.19.3
- Git 2.18.x hasta 2.18.2
- Git 2.17.x hasta 2.17.3
Solución a la vulnerabilidad:
La vulnerabilidad ha sido corregida en las versiones:
- Git 2.26.1
- Git 2.25.3
- Git 2.24.2
- Git 2.23.2
- Git 2.22.3
- Git 2.21.2
- Git 2.20.3
- Git 2.19.4
- Git 2.18.3
- Git 2.17.4
Disponibles para su descarga a través del siguiente enlace:
Recomendaciones
El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
De manera adicional, en la medida de lo posible, se recomienda deshabilitar por completo los asistentes de credenciales, para ello:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Asimismo, dado que las URL maliciosas resultan bastante sospechosas, se recomienda al usuario:
- Examinar los nombres de host y del usuario remitente de las URL, prestando especial atención a la existencia de líneas codificadas (%0a) o evidencien la inyección de protocolo de credenciales.
- Evitar usar submódulos que contengan repositorios no confiables.
- Evitar emplear herramientas que permitan ejecutar git clone URL en no confiables en segundo nivel.
Referencias: