GitHubning Command Line Interface (CLI) tizimida yuqori darajali zaiflik aniqlandi

GitHubning Command Line Interface (CLI) tizimida yangi xavfsizlik zaifligi aniqlanib, foydalanuvchilarning tizimlariga masofaviy kodni bajarish (RCE) orqali zararli buyruqlarni kiritish imkoniyati paydo bo‘ldi. CVE-2024-32002 identifikatori bilan tanilgan ushbu zaiflik, 2.62.0 versiyasidan oldingi GitHub CLI versiyalariga ta’sir qiladi va GitHub bilan ishlovchilarga jiddiy xavf tug’diradi.

Zaiflik GitHub CLI tizimining SSH ulanish ma’lumotlarini qanday boshqarishi bilan bog’liq, ayniqsa foydalanuvchilar Codespace muhitlariga ulanayotganda yuzaga keladi. Muammo, asosan, gh codespace ssh yoki gh codespace logs komandalaridan foydalanganda, yomon niyatli SSH serverga ulanadigan foydalanuvchilar tomonidan ekspluatatsiya qilinadi.

Yomon niyatli hujumchi devcontainer yaratib, unda modifikatsiya qilingan SSH serverini ishlatishi mumkin. Ushbu server SSH ulanish ma’lumotlariga ixtiyoriy SSH parametrlarini kiritadi. Foydalanuvchi zararli Codespace serveriga ulanadigan bo‘lsa, hujumchi masofaviy foydalanuvchi nomini manipulyatsiya qilib, zararli SSH parametrlarini o’z ichiga olgan buyruqlarni yuboradi. Masalan, foydalanuvchi nomiga -oProxyCommand="echo hacked" # kabi kod kiritish orqali foydalanuvchi tizimida ixtiyoriy kodni bajarish mumkin.

Ushbu zaiflik muvaffaqiyatli ekspluatatsiya qilinsa, quyidagi oqibatlarga olib kelishi mumkin:

  • Tizimga ruxsatsiz kirish va ixtiyoriy kodni bajarish
  • Maxfiy ma’lumotlar va parollarni o’g’irlash
  • Zararlanish yoki orqa eshiklarni o’rnatish
  • Tizimdagi boshqa zararli harakatlar

GitHub CLI asosan ishlab chiquvchilar orasida keng qo’llaniladigan vosita bo‘lganligi sababli, ushbu zaiflik global miqyosda ko‘plab foydalanuvchilarni xavf ostiga qo‘yishi mumkin.

GitHub bu xavfsizlik muammosini bartaraf etish uchun 2.62.0 versiyasini chiqarib, zaiflikni tuzatdi. Foydalanuvchilarga quyidagi choralarni ko’rish tavsiya etiladi:

  • GitHub CLI ni 2.62.0 yoki undan keyingi versiyasiga yangilash
  • Yaratilgan devcontainer obrazlaridan ehtiyotkorlik bilan foydalanish
  • Ishonchli manbalardan olingan devcontainerlarni afzal ko‘rish
  • Islom boʻlmagan kodlardan Codespace ulanishlari orqali ehtiyot boʻlish

Bu zaiflik ishlab chiqilayotgan dasturiy mahsulotlarning xavfsizligini ta’minlashning muhimligini yana bir bor ko‘rsatadi. Kodlar va tarmoqlarda ishlash uchun foydalaniladigan vositalar xavfsiz bo‘lmasa, barcha tizimlar va ma’lumotlar xavf ostida bo‘ladi. GitHubning bu zaiflikni tuzatganiga qaramay, bu voqea veb-ishlab chiquvchilarni o‘z vositalarini muntazam yangilash va xavfsizlikka alohida e’tibor qaratishga chaqiradi.

Skip to content