Vulnerabilità critiche in Git
01/19/2023
CERT Yoroi informa che nella giornata del 19 Gennaio 2023 è stata rilasciata la patch risolutiva di tre vulnerabilità critiche RCE su Git; in particolare: CVE-2022-23521, CVE-2022-41903, CVE-2022-41953.
Il team di Git evidenzia come le prime due vulnerabilità (CVE-2022-23521 e CVE-2022-41903) permettano ad un attaccante di eseguire codice arbitrario da remoto. La prima, in modo più specifico, riguarda lo sfruttamento dei sottocomandi di "log", precisamente "git log --format:", per causare un integer overflow ed una conseguente possibile esecuzione di codice remoto. La seconda si concentra su un file ".gitattributes" creato appositamente in modo che una volta letto da "git", grazie ad un numero molto elevato di modelli di path, causi anche in questo caso un integer overflow e quindi un possibile remote code execution.
La terza, CVE-2022-41953, si differenzia dalle altre perché riguarda la versione Windows di Git GUI: l'applicativo "aspell.exe", usato come spell checker da Git GUI ed eseguito automaticamente dopo il cloning di una repository, può essere inserito in un repository in una versione differente (malevola) e può essere sfruttato per eseguire codice malevolo nella repository appena clonata.
Gli scenari di attacco nei quali potrebbero concretizzarsi queste vulnerabilità sono simili tra loro, in quanto un attaccante potrebbe preparare un apposito repository ed invitare l'utente vittima ad effettuare interazioni con esso, sia tramite attacchi di tipo supply chain che tramite veri e propri tentativi di phishing.
Il team Git ha pubblicato tre security advisory sulle tre vulnerabilità indicate, dove specifica le versioni vulnerabili e le versioni con le patch correttive, per ulteriori informazioni:
A questo proposito, Yoroi suggerisce di installare al più presto gli aggiornamenti di sicurezza forniti o, qualora non fosse possibile, di evitare di effettuare il clone di repository da sorgenti non affidabili.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index.
