Aufgrund einer Sicherheitslücke können Angreifer Instanzen des Self-hosted-Git-Service Gogs attackieren und kompromittieren. Bislang ist kein Sicherheitsupdate erschienen. Wann es kommt, ist zurzeit unklar. Bis zum Erscheinen des Patches müssen Admins Systeme mit den richtigen Einstellungen gegen Attacken rüsten.
Die Gefahr
Auf die Schwachstelle sind Sicherheitsforscher von Rapid7 gestoßen. In einem Bericht stufen sie die Lücke als „kritisch“ ein. Eine CVE-Nummer nennen sie nicht. Für eine Attacke müssen Angreifer aber bereits authentifiziert sein. Ist das gegeben, können sie manipulierend in die Rebase-before-merging-Operation eingreifen und darüber Schadcode auf Systeme bringen. Danach ist davon auszugehen, dass Server als vollständig kompromittiert gelten.
Weil Gogs standardmäßig mit der Option DISABLE_REGISTRATION = false läuft, können sich Angreifer einen Account erstellen und so die Attacke ausführen, führen die Sicherheitsforscher aus. Sie erläutern in ihrem Bericht, wie ein solcher Angriff ablaufen könnte. Bislang gibt es aber keine Hinweise seitens der Forscher, dass Angreifer die Lücke bereits ausnutzen. In ihrem Bericht listen sie dennoch Hinweise (Indicators of Compromise, IoC) auf, an denen Admins bereits attackierte Instanzen erkennen können.
