Warten auf Sicherheitspatch: Self-hosted-Git-Service Gogs ist verwundbar

Aufgrund einer Sicherheitslücke können Angreifer Instanzen des Self-hosted-Git-Service Gogs attackieren und kompromittieren. Bislang ist kein Sicherheitsupdate erschienen. Wann es kommt, ist zurzeit unklar. Bis zum Erscheinen des Patches müssen Admins Systeme mit den richtigen Einstellungen gegen Attacken rüsten.

Die Gefahr

Auf die Schwachstelle sind Sicherheitsforscher von Rapid7 gestoßen. In einem Bericht stufen sie die Lücke als „kritisch“ ein. Eine CVE-Nummer nennen sie nicht. Für eine Attacke müssen Angreifer aber bereits authentifiziert sein. Ist das gegeben, können sie manipulierend in die Rebase-before-merging-Operation eingreifen und darüber Schadcode auf Systeme bringen. Danach ist davon auszugehen, dass Server als vollständig kompromittiert gelten.

Weil Gogs standardmäßig mit der Option DISABLE_REGISTRATION = false läuft, können sich Angreifer einen Account erstellen und so die Attacke ausführen, führen die Sicherheitsforscher aus. Sie erläutern in ihrem Bericht, wie ein solcher Angriff ablaufen könnte. Bislang gibt es aber keine Hinweise seitens der Forscher, dass Angreifer die Lücke bereits ausnutzen. In ihrem Bericht listen sie dennoch Hinweise (Indicators of Compromise, IoC) auf, an denen Admins bereits attackierte Instanzen erkennen können.

Instanzen absichern

Sie geben an, die Gogs-Entwickler im März dieses Jahres kontaktiert und auch eine Antwort erhalten zu haben. Seitdem gab es ihnen zufolge aber keine weiteren Antworten mehr. Wann ein Sicherheitspatch erscheint, ist demzufolge unklar.

Bis dahin sollten Admins in der Konfigurationsdatei app.ini diese beiden Parameter einstellen, damit sich Angreifer nicht anmelden und keine Repositorys erstellen können: DISABLE_REGISTRATION = true und MAX_CREATION_LIMIT = 0.

(des)