Empat kerentanan telah ditemukan dalam Gogs, sebuah layanan Git yang dapat di-hosting sendiri, yang bisa memungkinkan penyerang mencuri, mengubah, atau menghapus kode sumber Anda.

Apa Itu Gogs?

Gogs adalah sistem manajemen kode sumber terbuka yang populer dengan lebih dari 44.000 bintang di GitHub dan 90 juta unduhan di Docker. Namun, penelitian oleh SonarSource menemukan empat kelemahan serius yang bisa dieksploitasi oleh penyerang.

Detail Kerentanan

1. Injeksi Argumen (Tiga Kerentanan):

• Tiga dari empat kelemahan ini memungkinkan “injeksi argumen,” sebuah bentuk injeksi perintah yang bisa digunakan untuk membaca, mengubah, atau menghapus kode yang di-host pada server Gogs yang rentan.
• Kelemahan ini memanfaatkan opsi “split-string” dalam perintah env, yang digunakan untuk mengatur variabel lingkungan melalui permintaan SSH ke server Gogs.

2. Penghapusan File Internal:

• Kerentanan keempat memungkinkan penghapusan file internal di server.

Siapa yang Rentan?

• Pengguna yang sudah terautentikasi pada instance Gogs dengan server SSH bawaan yang diaktifkan.
• Instance Gogs yang memungkinkan registrasi pengguna baru juga berisiko, karena penyerang dapat membuat akun untuk mendapatkan kunci SSH yang diperlukan.

Kerentanan ini terutama dapat dieksploitasi pada sistem operasi Ubuntu dan Debian karena cara perintah env diimplementasikan. Sistem Windows tidak terpengaruh karena tidak menggunakan perintah env.

Rekomendasi Mitigasi

SonarSource telah mengembangkan patch untuk versi 0.13.0 Gogs, namun ada kemungkinan patch ini dapat menyebabkan masalah fungsional karena belum diuji secara ekstensif. Berikut adalah langkah-langkah yang disarankan:

1. Instal Patch: Unduh dan pasang patch yang dikembangkan oleh SonarSource.
2. Nonaktifkan Server SSH Bawaan: Jika tidak diperlukan, matikan server SSH bawaan untuk mencegah eksploitasi.
3. Nonaktifkan Registrasi Pengguna Baru: Hindari penyerang membuat akun baru dan mendapatkan kunci SSH.

Langkah Selanjutnya

SonarSource merekomendasikan pengguna untuk beralih dari Gogs ke Gitea, sebuah proyek serupa yang lebih aktif dikelola dan sudah mengandung perbaikan untuk masalah-masalah yang ditemukan.

Deteksi Eksploitasi

Pengguna Gogs bisa mendeteksi upaya eksploitasi dengan memantau aktivitas jaringan untuk argumen env yang dimulai dengan -split-string atau -s. Juga, permintaan HTTP dengan jalur yang dimulai dengan /user/repo/_preview/branch/-- bisa menjadi indikasi eksploitasi.

Kesimpulan

Empat kerentanan yang ditemukan dalam Gogs bisa membahayakan kode sumber Anda. Penting untuk mengambil tindakan segera dengan menginstal patch, menonaktifkan fitur yang tidak diperlukan, dan mempertimbangkan untuk beralih ke Gitea demi keamanan yang lebih baik.