Phân tích và khắc phục lỗ hổng Git CVE-2024-32002

Git là một hệ thống kiểm soát phiên bản phân tán mã nguồn mở và miễn phí, được thiết kế để giúp các nhà phát triển phần mềm quản lý cơ sở mã nhanh chóng và hiệu quả. Nó tăng cường sự hợp tác giữa các thành viên trong nhóm phát triển bằng cách tổ chức và theo dõi các thay đổi đối với các tệp và thư mục theo cách chuẩn hóa, có cấu trúc. 

Git được sử dụng rộng rãi trong phát triển phần mềm. Các nền tảng như GitHub, GitLab và Bitbucket được xây dựng trên Git để tăng cường sự hợp tác giữa các nhà phát triển do các tính năng mạnh mẽ của nó: 

• Ghi lại những thay đổi có thể theo dõi được vào các tệp mã, được gọi là cam kết . 
• Hoàn nguyên các chỉnh sửa mã về phiên bản trước khi cần thiết. 
• Kết hợp hiệu quả các thay đổi từ nhiều nhánh hoặc người đóng góp khác nhau. 
• Lưu lại lịch sử về những người thực hiện thay đổi và ngày thực hiện.

Một mô-đun con Git là một bản ghi trong kho lưu trữ Git tham chiếu đến một cam kết cụ thể trong kho lưu trữ bên ngoài. Khi một mô-đun con được thêm vào kho lưu trữ, một tệp mới trong thư mục .gitmodules được tạo với siêu dữ liệu về ánh xạ giữa URL của mô-đun con và thư mục cục bộ của nó. Khi một kho lưu trữ chứa nhiều mô-đun con, tệp .gitmodules sẽ bao gồm một mục nhập cho mỗi mô-đun con. [3] 

Liên kết tượng trưng, còn được gọi là liên kết tượng trưng hoặc liên kết mềm, là tệp trỏ đến tệp hoặc thư mục khác (được gọi là "mục tiêu") bằng cách chỉ định đường dẫn của tệp hoặc thư mục đó. Nếu liên kết tượng trưng bị xóa, mục tiêu của tệp hoặc thư mục đó vẫn không bị ảnh hưởng. [4] 

Một liên kết tượng trưng trong Git được tạo dưới dạng tệp có siêu dữ liệu để làm cho nó hoạt động như một tham chiếu hoặc một phím tắt đến một tệp khác. Liên kết tượng trưng có thể được sử dụng để tạo nhiều tham chiếu đến một tệp mà không cần sao chép nội dung của tệp đó.

Để hiểu sâu hơn về các lỗ hổng bảo mật, các chuyên gia bảo mật thường thực hiện phân tích bản vá. Đây là một kỹ thuật giúp xác định các chức năng dễ bị tấn công và các vectơ tấn công tiềm ẩn. OPSWAT Các thành viên đã kiểm tra những thay đổi được thực hiện trong phiên bản đã vá để giải quyết lỗ hổng CVE-2024-32002 và họ phát hiện ra rằng có hai tệp đã được cập nhật để giải quyết lỗ hổng CVE này.

Một trong những tệp được cập nhật là tệp submodule--helper.c , bao gồm mã xử lý việc sao chép submodule Git. Cam kết mới trong phiên bản đã vá bao gồm hai mục sau:  

Ngoài những thông tin chi tiết thu thập được từ phân tích bản vá và mô tả về lỗ hổng CVE-2024-32002, OPSWAT Các thành viên đã làm việc để điều tra quy trình làm việc của các liên kết tượng trưng và các mô-đun con trong Git. Họ đã phân tích trình tự các sự kiện xảy ra khi người dùng sao chép một kho lưu trữ:

1. Git bắt đầu bằng cách tải xuống các tệp và thư mục từ kho lưu trữ chính. 
2. Nó sử dụng các định nghĩa được chỉ định trong các tệp liên kết tượng trưng để tạo lại các liên kết tượng trưng tương ứng trong hệ thống tệp cục bộ.  
3. Nếu liên kết tượng trưng trỏ đến một tệp hiện có, liên kết tượng trưng sẽ hoạt động; nếu không, liên kết tượng trưng sẽ không hoạt động cho đến khi mục tiêu được khôi phục.  
4. Nếu kho lưu trữ được sao chép bằng tùy chọn --recursive , Git sẽ sao chép các mô-đun con (kho lưu trữ bên ngoài) và đặt chúng vào đường dẫn thư mục như được chỉ định trong tệp .gitmodules.  
5. Nếu liên kết tượng trưng là một phần của đường dẫn mô-đun con (ví dụ: util/module/test , trong đó util là liên kết tượng trưng trỏ đến một thư mục khác, chẳng hạn như symlink_folder ), Git sẽ lưu trữ nội dung mô-đun con trong thư mục thực tế được liên kết tượng trưng tham chiếu (ví dụ: symlink_folder/module/test ), đồng thời cho phép truy cập thông qua đường dẫn liên kết tượng trưng ban đầu. 

OPSWAT Các thành viên tiếp tục kiểm tra việc tạo ra các kho lưu trữ độc hại dựa trên các bản cập nhật được thực hiện cho tệp t/t7406-submodule-update.sh và chia nhỏ quá trình này thành các bước sau:

Khi người dùng sao chép kho lưu trữ độc hại được tạo ở bước trước bằng tùy chọn --recursive , tập lệnh độc hại từ hook sau khi thanh toán sẽ được kích hoạt, cho phép kẻ tấn công xâm nhập vào thiết bị của người dùng. 

Việc thực thi mã từ xa này xảy ra vì kho lưu trữ chính phát hiện ra một liên kết tượng trưng có tên a trỏ đến thư mục .git khi được sao chép. Với chế độ đệ quy được bật, các mô-đun con cũng được kéo vào kho lưu trữ được sao chép. Kho lưu trữ này chứa một thư mục hooks, chứa tập lệnh hook sau khi kiểm tra và thư mục cục bộ của nó nằm trong A/modules/x .  

Vì a trỏ đến thư mục .git và hệ thống tệp không phân biệt chữ hoa chữ thường, A được hiểu là tương đương với a . Git bị đánh lừa khi viết tập lệnh hook sau khi kiểm tra vào thư mục .git/modules/query/fast/hooks/ . Nếu tìm thấy tập lệnh hook sau khi kiểm tra trong thư mục .git/modules/{module_type}/{module_name}/hooks , tập lệnh này sẽ được kích hoạt khi kho lưu trữ chính được sao chép bằng tùy chọn --recursive . Do đó, kẻ tấn công có thể xâm nhập thành công thiết bị của người dùng bằng cách thực thi mã từ xa.

Dựa trên những phát hiện trước đó, OPSWAT Các thành viên đã tạo một kho lưu trữ chính và một móc nối để mô phỏng việc tạo ra một kho lưu trữ độc hại:

Để vô hiệu hóa mối đe dọa, người dùng có thể gỡ cài đặt Git hoặc áp dụng bản vá bảo mật mới nhất. Ngoài ra, một giải pháp như MetaDefender Endpoint có thể thông báo kịp thời cho người dùng và hiển thị tất cả các CVE đã biết trong môi trường thông qua giao diện trực quan của nó. MetaDefender Endpoint có thể phát hiện và giảm thiểu các CVE mới nhất bằng cách tận dụng khả năng của nó với hơn 3 triệu điểm dữ liệu và hơn 30.000 CVE liên quan với Thông tin mức độ nghiêm trọng. Bằng cách triển khai bất kỳ biện pháp đối phó nào, CVE sẽ được ngăn chặn hoàn toàn, loại bỏ nguy cơ tấn công mạng tàn phá.

Bạn đã sẵn sàng để đưa MetaDefender Endpoint ở tuyến đầu trong chiến lược an ninh mạng của bạn?