Cabecera blog ciberseguridad

CVE-2024-32002: Vulnerabilidad crítica en Git

La vulnerabilidad CVE 2024-32002 afecta al software de control de actualizaciones más importante del mundo

La vulnerabilidad crítica CVE-2024-32002 que afecta al software de control de actualizaciones Git puede derivar en ejecución de código remota

Recientemente se ha publicado una vulnerabilidad crítica en Git que podría derivar en una inyección de comandos remota. La vulnerabilidad, cuyo identificador es CVE-2024-32002, tiene una puntuación CVSS de 9.0.

La vulnerabilidad sería explotada cuando la víctima clonase un repositorio de manera recursiva, ejecutando de esta manera hooks maliciosos contenidos en los submódulos, y reside en la manera en la que Git gestiona los enlaces simbólicos en los submódulos de los repositorios.

Actualmente, existen diferentes PoCs con exploits públicos que evidencian la vulnerabilidad.

Git es un software de control de versiones diseñado por Linus Torvalds, pensando en la eficiencia, la confiabilidad y compatibilidad del mantenimiento de versiones de aplicaciones cuando éstas tienen un gran número de archivos de código fuente. Actualmente es el sistema de control de versiones más utilizado.

La vulnerabilidad solo aplica a las versiones de Git anteriores a 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 y 2.39.4, configuradas con compatibilidad para enlaces simbólicos y bajo sistemas operativos case-sensitive.

Características principales de la CVE 2024-32002

A continuación, se detallan las características principales de esta vulnerabilidad:

  • Identificador: CVE-2024-32002
  • Fecha de publicación: 14/05/2024
  • Software Afectado: Git SCM
  • CVSS Score: CVSS:3.1/ AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H (9.0 Critical)
  • Versiones afectadas
    • Anteriores a:
      • 2.45.1
      • 2.44.1
      • 2.43.4
      • 2.42.2
      • 2.41.1
      • 2.40.2
      • 2.39.4
  • Requisitos de explotación:
    • El software debe haber sido configurado con compatibilidad para enlaces simbólicos.
    • El sistema operativo debe ser case-insensitive.

Mitigación

La solución principal consiste en actualizar urgentemente el software Git a una de las nuevas versiones parcheadas que corrigen esta vulnerabilidad:

  • 2.45.1
  • 2.44.1
  • 2.43.4
  • 2.42.2
  • 2.41.1
  • 2.40.2
  • 2.39.4

Adicionalmente, se puede llegar a mitigar la vulnerabilidad desactivando los enlaces simbólicos para Git:

git config --global core.symlinks false

Detección de la CVE 2024-32002

La presencia de la vulnerabilidad puede ser identificada mediante el número de versión.

Como parte de su servicio de vulnerabilidades emergentes, Tarlogic monitoriza de forma proactiva el perímetro de sus clientes para informar, detectar y notificar urgentemente la presencia de esta vulnerabilidad, así como otras amenazas críticas que podrían causar un grave impacto sobre la seguridad de sus activos.

Referencias
  • https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv
  • https://socradar.io/critical-security-updates-for-git-scm-cve-2024-32002-cve-2024-32004-lead-to-rce/
  • https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2024-32002
  • https://github.com/amalmurali47/git_rce