Nueve vulnerabilidades de seguridad fueron encontradas recientemente en el sistema de control de versiones de código abierto de GitHub, por lo que la plataforma solicita encarecidamente a sus usuarios implementar una serie de “actualizaciones críticas de proyecto Git” para prevenir riesgos de explotación, mencionan expertos en análisis de vulnerabilidades.

En su reporte de seguridad, GitHub menciona que estas vulnerabilidades podrían permitir a un hacker sobreescribir rutas arbitrarias, ejecutar código remoto e incluso sobrescribir archivos en el directorio .git/.   

En un principio, el proyecto Git fue creado para permitir el desarrollo del kernel de Linux. Este programa identifica los cambios realizados en un archivo, además permite la creación de repositorios y de una carpeta git/ dentro de otro proyecto. Acorde a los expertos en análisis de vulerabilidades, una vulnerabilidad de Git podría ser explotada para extraer IPs comerciales o con fines de sabotaje de código.   

Una de las vulnerabilidades encontradas es CVE-2019-1350, explotable mediante una citación incorrecta de los argumentos de la línea de comandos, lo que permite la ejecución remota de código durante un clon recursivo junto con las URL SSH, menciona Johannes Schindelin, del proyecto Git.

“El problema es exclusivo de Windows, pues el código vulnerable sólo se compila en este sistema. El exploit encontrado involucra un sub módulo y una URL SSH maliciosa creada para explotar la vulnerabilidad”, menciona Schindelin.

Joern Schneeweisz, experto en análisis de vulnerabilidades de GitLab, fue el encargado de reportar la vulnerabilidad, en conjunto con el Centro de Respuesta a incidentes de Seguridad. Desde junio de 2018, GitHub es propiedad de Microsoft, por lo que la plataforma se encuentra bajo constante vigilancia de los equipos de seguridad del gigante tecnológico. En el reporte sobre las vulnerabilidades, GitHub añade: “Si un usuario decide clonar un repositorio no confiable, no hay forma de evitar el riesgo de explotación de las vulnerabilidades descubiertas”.

La lista completa de las vulnerabilidades encontradas incluye:

  • CVE-2019-1348: la opción –export-marks de git fast-import también se expone a través de la función de comando in-stream export-marks = … lo que permite sobrescribir rutas arbitrarias
  • CVE-2019-1349: cuando los submódulos se clonan de forma recursiva, en ciertas circunstancias se puede engañar a Git para que use el mismo directorio de Git dos veces
  • CVE-2019-1350: las citaciones incorrectas de los argumentos de la línea de comandos permiten la ejecución remota de código durante un clon recursivo junto con las URL SSH
  • CVE-2019-1351: si bien las únicas letras de unidad permitidas para unidades físicas en Windows son letras del alfabeto inglés de EU, esta restricción no se aplica a las unidades virtuales asignadas a través de subst <letter>: <path>. Git confundió tales rutas con rutas relativas, lo que permite escribir fuera del árbol de trabajo durante la clonación
  • CVE-2019-1352: Git desconoce los flujos de datos alternativos de NTFS, lo que permite que los archivos dentro del directorio .git/ se sobrescriban durante la clonación
  • CVE-2019-1353: al ejecutar Git en el subsistema de Windows para Linux, al acceder a un directorio de trabajo en una unidad de Windows normal, ninguna de las protecciones NTFS se encuentra activa
  • CVE-2019-1354: los nombres de archivo en Linux/Unix pueden contener barras invertidas. En Windows, las barras invertidas son separadores de directorios. Git no suele negarse a escribir archivos rastreados con dichos nombres de archivo
  • CVE-2019-1387: los clones recursivos se ven afectados actualmente por una vulnerabilidad causada por una validación demasiado laxa de los nombres de sub módulos, lo que permite ataques muy específicos a través de la ejecución remota de código en clones recursivos

Al igual que GitHub, los especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan actualizar a la brevedad para prevenir cualquier riesgo de explotación.

Fuente: noticiasseguridad.com

Compartir