1. Tổng quan và phân tích
Trong hoạt động theo dõi giám sát diễn biến an toàn thông tin trên không gian mạng, Team CMC Telecom Threat Intelligence đã ghi nhận một lỗ hổng bảo mật ảnh hưởng đến Github CLI có mã định danh CVE-2024-52308 cho phép kẻ tấn công thực thi mã từ xa (Remote Code Execution) khi người dùng kết nối đến một máy chủ SSH Codespace độc hại thông qua các lệnh như gh codespace ssh hoặc gh codespace logs.
Nguyên nhân xảy ra lỗ hổng này do xử lý không đúng thông tin kết nối SSH trong Codespace. Kẻ tấn công có thể chỉnh sửa máy chủ SSH bên trong devcontainer để chèn vào các tham số độc hại khi kết nối SSH.
Cách thức tấn công như sau:
- Kẻ tấn công đặt tên đặc biệt ví dụ trong đặt tên như -oProxyCommand=”echo You have been hacked”#. Sau đó nội dung này sẽ được thực thi như một mã lệnh của hệ thống, cho phép thực hiện các mã lệnh từ xa.
2. Ảnh hưởng và giảm thiểu rủi ro
Việc khai thác lỗ hổng này có thể dẫn đến việc chiếm quyền điều khiển của hệ thống.
Biện pháp giảm thiểu rủi ro đối với lỗ hổng này:
- Hạn chế sử dụng các devcontainer tùy chỉnh không đáng tin cậy. Tránh kết nối đến các Codespace không đáng tin cậy
- Thực hiện cập nhật phần mềm lên các phiên bản như khuyến nghị dưới đây:
| STT | Lỗ hổng | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
| 1 | CVE-2024-52308 | Github CLI phiên bản <= 2.61.0 | Github CLI phiên bản >= 2.62.0 |
3. Liên quan
