Clone2Leak | تهدید جدید برای امنیت اطلاعات هر توسعه دهنده ای که از Git استفاده می کند

در دنیای فناوری، امنیت اطلاعات همواره یکی از دغدغه‌های اصلی توسعه‌دهندگان و کاربران است. طبق بررسی کارشناس شرکت سحاب اخیراً یک سری حملات امنیتی با نام Clone2Leak شناسایی شده‌اند که با سوءاستفاده از نقص‌های موجود در سیستم‌های Git، اطلاعات احراز هویت کاربران را به خطر می‌اندازند. در ادامه اخبار سایبری امروز شرکت سحاب، به بررسی کامل این حملات، روش‌های اجرای آن‌ها، و راه‌کارهای مقابله با آن‌ها می‌پردازیم.

Clone2Leak چیست؟

به گزارش کارشناس شرکت سحاب حمله‌های Clone2Leak شامل سه حمله مجزا اما مرتبط هستند که با سوءاستفاده از نحوه مدیریت درخواست‌های احراز هویت توسط Git و ابزارهای کمکی آن، اطلاعات حساس کاربران را افشا می‌کنند. این حملات می‌توانند رمزهای عبور، توکن‌های دسترسی، و دیگر اطلاعات محرمانه را در ابزارهایی مانند GitHub Desktop، Git LFS، GitHub CLI/Codespaces، و Git Credential Manager به خطر بیندازند.

این نقص‌ها توسط محقق ژاپنی RyotaK از شرکت GMO Flatt Security کشف شدند. او به‌طور مسئولانه‌ای این آسیب‌پذیری‌ها را به تیم‌های توسعه‌دهنده گزارش داد و در نتیجه، به‌روزرسانی‌های امنیتی برای رفع این مشکلات منتشر شد. با این حال، کاربران باید اقدامات لازم را برای محافظت از خود انجام دهند.

چگونه Clone2Leak کار می‌کند؟

هر یک از حملات Clone2Leak حول محور تحلیل نادرست درخواست‌های احراز هویت توسط ابزارهای کمکی Git می‌چرخد. این ابزارها (Credential Helpers) وظیفه ذخیره و بازیابی اطلاعات احراز هویت را بر عهده دارند تا کاربران مجبور نباشند برای هر عملیات Git، اطلاعات خود را بارها وارد کنند.

مهاجمان با سوءاستفاده از این نقص‌ها، می‌توانند Git را فریب دهند تا اطلاعات احراز هویت ذخیره‌شده را به سرورهای مخرب ارسال کنند. این اتفاق معمولاً زمانی رخ می‌دهد که کاربر یک مخزن مخرب را کلون می‌کند یا با آن تعامل دارد.

انواع حملات Clone2Leak

در ادامه، سه روش اصلی که حمله‌های Clone2Leak از طریق آن‌ها اجرا می‌شوند، بررسی می‌شود:

1. قاچاق کاراکتر بازگشت به خط (Carriage Return Smuggling)

• شناسه‌های CVE: CVE-2025-23040 و CVE-2024-50338

• ابزارهای آسیب‌پذیر: GitHub Desktop و Git Credential Manager

• توضیحات: این ابزارها کاراکترهای بازگشت به خط (\r) در URLها را به اشتباه تفسیر می‌کنند. با استفاده از یک URL زیرماژول مخرب که شامل %0D است، مهاجمان می‌توانند ابزار کمکی را فریب دهند تا اطلاعات احراز هویت GitHub را به جای هاست مورد نظر، به سرور تحت کنترل خود ارسال کنند.

2. تزریق خط جدید (Newline Injection)

• شناسه CVE: CVE-2024-53263

• ابزار آسیب‌پذیر: Git LFS

• توضیحات: Git LFS به اشتباه اجازه می‌دهد کاراکترهای خط جدید (\n) در فایل‌های .lfsconfig وجود داشته باشند. این نقص، امنیت Git را دور می‌زند و مهاجمان می‌توانند درخواست‌های احراز هویت را تغییر دهند تا اطلاعات احراز هویت GitHub به سرورهای مخرب ارسال شود.

3. نقص‌های منطقی در بازیابی اطلاعات احراز هویت

• شناسه CVE: CVE-2024-53858

• ابزارهای آسیب‌پذیر: GitHub CLI و GitHub Codespaces

• توضیحات: ابزارهای کمکی در این سیستم‌ها بیش از حد سهل‌انگارانه عمل می‌کردند و توکن‌های احراز هویت را به هاست‌های ناخواسته ارسال می‌کردند. مهاجمان با فریب کاربران برای کلون کردن یک مخزن مخرب در Codespaces، می‌توانستند توکن‌های دسترسی GitHub را سرقت کنند.

راه‌کارهای مقابله با Clone2Leak

خوشبختانه، تمامی آسیب‌پذیری‌های ذکر شده اکنون اصلاح شده‌اند. با این حال، کاربران باید اقدامات زیر را برای اطمینان از امنیت خود انجام دهند:

1. به‌روزرسانی ابزارها: مطمئن شوید که از آخرین نسخه‌های ایمن ابزارهای خود استفاده می‌کنید. نسخه‌های ایمن عبارتند از:

   • GitHub Desktop نسخه 3.4.12 یا جدیدتر

   • Git Credential Manager نسخه 2.6.1 یا جدیدتر

   • Git LFS نسخه 3.6.1 یا جدیدتر

   • gh cli نسخه 2.63.0 یا جدیدتر

2. فعال‌سازی گزینه credential.protectProtocol: این گزینه یک لایه دفاعی اضافی در برابر حملات قاچاق اطلاعات احراز هویت فراهم می‌کند.

3. بررسی پیکربندی‌های احراز هویت: تنظیمات احراز هویت خود را بررسی کنید تا مطمئن شوید که هیچ اطلاعات حساسی در معرض خطر نیست.

4. احتیاط در کلون کردن مخازن: تنها از مخازن معتبر و قابل اعتماد کلون کنید و از تعامل با مخازن ناشناس خودداری نمایید.

مطالب مرتبط  :

گروهی هکر با استفاده از تونل‌های SSH موفق به دسترسی مخفیانه به VMware ESXi شده اند

هشدار! کپچای جعلی تلگرام سیستم‌تان را آلوده می‌کند | راه‌های جلوگیری از حملات سایبری

راه‌حل جدید گوگل برای مقابله با افزونه‌های مخرب در محیط‌های سازمانی

هکرها به ۱۵,۰۰۰ دستگاه FortiGate متصل شده و تنظیمات و اعتبارنامه های VPN را افشا کردند. 

حمله‌های Clone2Leak نشان می‌دهند که حتی ابزارهای محبوب و پراستفاده مانند Git نیز می‌توانند در معرض آسیب‌پذیری‌های امنیتی قرار بگیرند. با این حال، با به‌روزرسانی‌های به موقع و رعایت نکات امنیتی، می‌توان از خطرات این حملات جلوگیری کرد.

گزارش Flatt Security تاکنون به استفاده فعال از این آسیب‌پذیری‌ها در دنیای واقعی اشاره‌ای نکرده است، اما با انتشار جزئیات، احتمال حملات افزایش یافته است. بنابراین، کاربران باید هوشیار باشند و اقدامات لازم را برای محافظت از اطلاعات خود انجام دهند.

امنیت یک فرآیند مستمر است و با آگاهی و اقدامات پیشگیرانه، می‌توانیم از داده‌های خود در برابر تهدیدات محافظت کنیم.

آیا به‌نظر شما حملات Clone2Leak می‌توانند به یک تهدید جدی برای امنیت اطلاعات توسعه‌دهندگان تبدیل شوند؟ و چه اقداماتی را برای محافظت از اطلاعات خود پیشنهاد می‌کنید؟ نظرات خود را با ما در میان بگذارید!

برای مطالعه بیشتر به BleepingComputer مراجعه بفرمایید