Een kritieke kwetsbaarheid in Git-service Gogs maakt remote code execution mogelijk en een beveiligingsupdate is niet beschikbaar, zo laat cybersecuritybedrijf Rapid7 vandaag weten. Gogs is een "self-hosted Git service", en een alternatief voor platforms zoals GitHub of GitLab. Het wordt gebruikt voor de ontwikkeling van software. Volgens zoekmachine Shodan zijn meer dan 1100 Gogs-servers vanaf het internet toegankelijk. Volgens onderzoekers ligt het werkelijke aantal installaties veel hoger, omdat die meestal achter een vpn zitten of binnen een intern netwerk draaien.

Het beveiligingslek maakt het mogelijk voor geauthenticeerde gebruikers om door middel van een pull request met een 'malicious branch name' willekeurige code op de Gogs-server uit te voeren. De exploit vereist geen adminrechten en geen interactie met andere gebruikers. De aanvaller kan de aanval vanuit zijn eigen account uitvoeren. "Aangezien Gogs standaard staat ingesteld met open registraties en geen limiet aan het creëren van repositories, kan een ongeauthenticeerde aanvaller op een standaard geconfigureerde installatie eenvoudig een account en repository aanmaken", aldus de onderzoekers.

Vanuit zijn eigen repository kan de aanvaller dan de server compromitteren, elke repository op de server lezen, credentials zoals wachtwoordhashes, API-tokens, SSH keys en 2FA secrets stelen, andere systemen in het netwerk aanvallen en de code van andere repositories aanpassen. Begin dit jaar waarschuwde het Amerikaanse cyberagentschap CISA voor actief misbruik van een path traversal-lek in Gogs.

Rapid7 informeerde de maintainers van Gogs op 17 maart, die op 28 maart de bugmelding bevestigden. De onderzoekers zeggen dat ze sindsdien meerdere keren contact hebben gezocht maar geen reactie kregen en de kwetsbaarheid nog steeds aanwezig is. Als mitigatie kunnen Gogs-gebruikers verschillende maatregelen nemen, waaronder het beperken van nieuwe registraties en de mogelijkheid om repositories aan te maken.