Ένα σύνολο τριών διαφορετικών αλλά σχετικών επιθέσεων, που ονομάζονται «Clone2Leak», μπορούν να διαρρεύσουν διαπιστευτήρια εκμεταλλευόμενοι τον τρόπο με τον οποίο το Git και οι βοηθοί διαπιστευτηρίων του χειρίζονται αιτήματα ελέγχου ταυτότητας.
Η επίθεση μπορεί να θέσει σε κίνδυνο τους κωδικούς πρόσβασης και τα διακριτικά πρόσβασης στο GitHub Desktop, στο Git LFS, στο GitHub CLI/Codespaces και στο Git Credential Manager.
Τα ελαττώματα που καθιστούν δυνατό το «Clone2Leak» ανακαλύφθηκαν από Ιάπωνα ερευνητή RyotaK της GMO Flatt Securityο οποίος τα ανέφερε υπεύθυνα στα επηρεαζόμενα έργα.
Έχουν γίνει διαθέσιμες ενημερώσεις ασφαλείας που αντιμετωπίζουν όλα τα ελαττώματα και οι χρήστες που επηρεάζονται καλούνται να διασφαλίσουν ότι εκτελούν μια ασφαλή έκδοση για να μετριάσουν τον κίνδυνο διαρροής των μυστικών τους.
Επιθέσεις Clone2Leak
Κάθε ένα από τα ελαττώματα που ανακαλύφθηκαν από το RyotaK περιστρέφεται γύρω από την ακατάλληλη ανάλυση των αιτημάτων ελέγχου ταυτότητας που γίνονται σε βοηθούς διαπιστευτηρίων, επιτρέποντας σε έναν εισβολέα να ξεγελάσει το Git ώστε να διαρρεύσει αποθηκευμένα διαπιστευτήρια σε έναν κακόβουλο διακομιστή.
Οι βοηθοί διαπιστευτηρίων είναι εργαλεία που αποθηκεύουν και ανακτούν διαπιστευτήρια ελέγχου ταυτότητας όταν το Git αλληλεπιδρά με απομακρυσμένα αποθετήρια, συμβάλλοντας στην αποφυγή επανειλημμένης εισαγωγής διαπιστευτηρίων για κάθε λειτουργία Git.
Οι εισβολείς μπορούν να ξεγελάσουν το Git ώστε να διαρρεύσει αποθηκευμένα διαπιστευτήρια όταν ένας χρήστης κλωνοποιεί ή αλληλεπιδρά με ένα κακόβουλο αποθετήριο.
Ακολουθεί μια επισκόπηση των τριών τρόπων με τους οποίους μπορεί να εκδηλωθεί η επίθεση Clone2Leak με την εκμετάλλευση διαφόρων ελαττωμάτων:
- λαθρεμπόριο επιστροφής άμαξας (CVE-2025-23040 και CVE-2024-50338) – Το GitHub Desktop και το Git Credential Manager παρερμηνεύουν τους χαρακτήρες επιστροφής μεταφοράς (\r) σε διευθύνσεις URL. Μια κακόβουλη διεύθυνση URL υπομονάδας με %0D εξαπατά τον βοηθό διαπιστευτηρίων να στείλει διαπιστευτήρια GitHub σε διακομιστή που ελέγχεται από τους εισβολείς αντί για τον προβλεπόμενο κεντρικό υπολογιστή.
- Ένεση νέας γραμμής (CVE-2024-53263) – Το Git LFS επιτρέπει ακατάλληλα χαρακτήρες νέας γραμμής (\n) σε αρχεία .lfsconfig, παρακάμπτοντας την ασφάλεια του Git. Οι εισβολείς μπορούν να αλλάξουν αιτήματα διαπιστευτηρίων έτσι ώστε το Git να επιστρέφει τα διαπιστευτήρια GitHub σε έναν κακόβουλο διακομιστή αντί για τον σωστό.
- Λογικά ελαττώματα στην ανάκτηση διαπιστευτηρίων (CVE-2024-53858) – Το GitHub CLI και το GitHub Codespace είχαν υπερβολικά ανεκτικούς βοηθούς διαπιστευτηρίων που έστελναν διακριτικά ελέγχου ταυτότητας σε ανεπιθύμητους κεντρικούς υπολογιστές. Οι εισβολείς θα μπορούσαν να κλέψουν διακριτικά πρόσβασης στο GitHub βάζοντας έναν χρήστη να κλωνοποιήσει ένα κακόβουλο αποθετήριο μέσα στο Codespaces.
Όλα τα τρωτά σημεία που αναφέρονται παραπάνω έχουν πλέον διορθωθεί, αλλά οι χρήστες θα πρέπει να διασφαλίζουν ότι τα εργαλεία τους είναι ενημερωμένα, να ελέγχουν τις διαμορφώσεις διαπιστευτηρίων και να είναι προσεκτικοί κατά την κλωνοποίηση αποθετηρίων.
Οι ασφαλείς εκδόσεις για αναβάθμιση είναι GitHub Desktop 3.4.12 ή νεότερο, Git Credential Manager 2.6.1 ή νεότερο, Git LFS 3.6.1 ή αργότερα, και gh cli 2.63.0 ή αργότερα.
Επιπλέον, συνιστάται να ενεργοποιείται το «credential.protectProtocol» του Git ως ένα επιπλέον επίπεδο άμυνας έναντι επιθέσεων λαθρεμπορίας διαπιστευτηρίων.
Η έκθεση της Flatt Security δεν αναφέρει ενεργή εκμετάλλευση στη φύση, αλλά με τις λεπτομέρειες πλέον δημόσιες, ο κίνδυνος επιθέσεων είναι αυξημένος.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
