Набор из трех различных, но взаимосвязанных атак, получивших название «Clone2Leak», может привести к утечке учетных данных. Это происходит через неправильную обработку запросов на аутентификацию GIT и его помощниками для получения учетных данных.
Атака может поставить под угрозу пароли и токены доступа в таких сервисах, как GitHub Desktop, GIT LFS, GitHub CLI/Codespaces и GIT Credential Manager.
Недавние уязвимости, которые сделали возможными атаки «Clone2Leak», были обнаружены японским исследователем Риотаком из Gmo Flatt Security, который ответственно сообщил о них разработчикам затронутых проектов.
Все недостатки были исправлены в обновлениях безопасности.
Каждый из недостатков, обнаруженных Риотаком, связан с неправильным анализом запросов на аутентификацию, представленных для помощников учетных данных. Это позволяет злоумышленнику обмануть GIT и утечь сохраненные учетные данные на сервер, контролируемый атакующим.
Инструменты для управления учетными данными — это программы, которые сохраняют и предоставляют учетные данные для аутентификации, когда GIT взаимодействует с удаленными репозиториями, что позволяет избежать необходимости вводить данные при каждой операции.
Злоумышленники могут заставить GIT раскрывать сохраненные учетные данные, если пользователь клонирует или взаимодействует с вредоносным репозиторием.
Вот обзор трех способов, как атака Clone2Leak может проявляться через различные уязвимости:
Безопасные версии для обновления:
В отчете Flatt Security не сообщается о случаях активной эксплуатации уязвимостей в дикой природе, однако с учетом того, что детали уже стали публичными, риск атак значительно увеличился.
Первоисточник
Атака может поставить под угрозу пароли и токены доступа в таких сервисах, как GitHub Desktop, GIT LFS, GitHub CLI/Codespaces и GIT Credential Manager.
Недавние уязвимости, которые сделали возможными атаки «Clone2Leak», были обнаружены японским исследователем Риотаком из Gmo Flatt Security, который ответственно сообщил о них разработчикам затронутых проектов.
Все недостатки были исправлены в обновлениях безопасности.
Атаки Clone2Leak
Каждый из недостатков, обнаруженных Риотаком, связан с неправильным анализом запросов на аутентификацию, представленных для помощников учетных данных. Это позволяет злоумышленнику обмануть GIT и утечь сохраненные учетные данные на сервер, контролируемый атакующим.
Инструменты для управления учетными данными — это программы, которые сохраняют и предоставляют учетные данные для аутентификации, когда GIT взаимодействует с удаленными репозиториями, что позволяет избежать необходимости вводить данные при каждой операции.
Злоумышленники могут заставить GIT раскрывать сохраненные учетные данные, если пользователь клонирует или взаимодействует с вредоносным репозиторием.
Вот обзор трех способов, как атака Clone2Leak может проявляться через различные уязвимости:
- Возврат каретки (CVE-2025-23040 и CVE-2024-50338): GitHub Desktop и GIT Credential Manager неверно обрабатывают символы возврата (\r) в URL. Поддельный URL с использованием символа %0D может обмануть инструменты управления учетных данных и отправить учетные данные GitHub на сервер, контролируемый атакующим, вместо предполагаемого хоста.
- Новая инъекция (CVE-2024-53263): Git LFS неправильно обрабатывает символы новой строки (\n) в файлах .lfsconfig, что позволяет обойти защиту GIT. Злоумышленники могут изменить запросы на учетные данные так, чтобы GIT отправлял данные на злонамеренный сервер вместо правильного.
- Логические ошибки в поиске полномочий (CVE-2024-53858): GitHub CLI и GitHub Codespaces использовали слишком разрешительные помощники учетных данных, которые могли отправить токены аутентификации на непреднамеренные хосты. Злоумышленники могли бы украсть токены доступа GitHub, заставив пользователя клонировать вредоносный репозиторий внутри Codespaces.
Безопасные версии для обновления:
- GitHub Desktop 3.4.12 или новее
- GIT Credential Manager 2.6.1 или новее
- Git LFS 3.6.1 или новее
- GitHub CLI 2.63.0 или новее
В отчете Flatt Security не сообщается о случаях активной эксплуатации уязвимостей в дикой природе, однако с учетом того, что детали уже стали публичными, риск атак значительно увеличился.
Первоисточник
