A saját üzemeltetésű Git-szerverek felét kritikus sebezhetőség miatt törték fel
Több mint 700 önállóan üzemeltetett Git szervert támadtak meg egy frissen felfedezett, javítatlan sérülékenység miatt. A Gogs nevű népszerű, saját gépen vagy felhőben futtatható Git szolgáltatásban rejlő hibát júliusban fedezték fel, amikor rosszindulatú programok után nyomozó kutatók egy gép vizsgálata során bukkantak rá. Érdekesség, hogy a sebezhetőségre véletlenül derült fény.
Egy korábbi javítás kevésnek bizonyult
A CVE-2025-8110 néven ismert sebezhetőséggel lényegében meg lehet kerülni egy korábban javított hibát (CVE-2024-55947). Ez lehetővé teszi, hogy a támadó hitelesített felhasználóként tetszőleges, a tárhelyen kívüli fájlokat írjon felül, így távoli kódvégrehajtást érhet el. A Gogs főként Go nyelven készült, és lehetővé teszi, hogy bárki saját szerveren kezeljen Git-tárhelyeket harmadik fél (például a GitHub) nélkül.
Az előző javítás nem védte ki a szimbolikus linkekkel (symlinkekkel) való visszaélést, ami különösen veszélyes: ezek révén a támadó négy egyszerű lépésben elérheti a rendszer feletti irányítást. Előbb létrehoz egy tárhelyet, beállít egy szimbolikus linket egy érzékeny célfájlra, majd az API-n keresztül ír erre a linkre, így felülírja például a .git/config fájlt, és ezzel tetszőleges parancsokat futtathat.
Fertőzött példányok, ázsiai támadók nyomai
Körülbelül 1 400, interneten elérhető Gogs példányból több mint 700-at sikeresen fertőztek meg. Mindegyiken ugyanaz a séma látható: egy véletlenszerű, 8 karakteres névvel létrehozott fiók és egy, a Supershell távoli vezérlőkeretrendszert használó káros program. A részletek ismeretében más fényt kap a történet, ugyanis ez a megoldás korábban is felbukkant már Ázsiából érkező kritikus támadásoknál. Ezáltal arra lehet következtetni, hogy a jelenlegi támadások hátterében is valószínűleg ázsiai elkövetők állnak.
Az is igaz ugyanakkor, hogy a legtöbb fertőzött környezetben gyorsan eltávolították a rosszindulatú programot, így utólagos károkozást, adatszivárgást nem tudtak kimutatni – azonban az, hogy pontosan mit tettek a támadók, többnyire nem ismert.
Mivel a Gogs fejlesztői még dolgoznak a hibajavításon, azonnali intézkedésként javasolt az új felhasználói regisztráció letiltása (amennyiben ez lehetséges), valamint az internetes elérhetőség korlátozása: a szervereket érdemes VPN mögé rejteni. Szintén érdemes figyelni a hirtelen létrejött, véletlenszerű karakterekből álló nevű tárhelyeket, illetve a PutContents API gyanús használatát. A kutatók közzétették a kompromittálódás jeleit is, érdemes azok alapján ellenőrizni a saját rendszereket.
⚠️ A KPMG ausztráliai részlegénél egy partner szépen besétált a tiltott AI-zónába: hogy simán átmenjen egy belső, mesterséges intelligenciáról szóló vizsgán, mesterséges intelligenciát hívott segítségül a kérdésekhez – erre viszont 2,6 millió forint (10 000 ausztrál dollár) bírság lett a vége...
Nem hiszem el, de végre rájöttek a Rode-nál, hogy mikrofonjainkat nem kell mindenáron drótokkal, kütyükkel, műanyag herékkel összebilincselni, csak hogy szóljon a hangunk az iPhone-ba vagy iPadbe...
A Super Bowl alatt bemutatott Ring Search Party funkció sokakat meglepett: a kedves reklám, amelyben a kütyü a házi kedvenc megtalálásában segít, komoly adatvédelmi aggályokat vetett fel...
Na most figyelj: az OpenClaw AI‑asszisztens elképesztő gyorsasággal lett népszerű, szinte mindent kezel a gépeden – beleértve az e-maileket, chatalkalmazásokat, helyi fájlokat, sőt, belép még mindenféle online szolgáltatásba is...
📚 Az oktatás évszázadokon át szinte változatlan maradt: a tanítási módszerek, az osztálytermi rend és a személytelen, egységes oktatás makacsul kitartanak, miközben az élet minden területét gyökeresen átalakítják a technológiai újítások...
🔥 Hongkong végre megint mozgolódik kriptófronton: a Victory Fintech (VDX) megkapta a hivatalos engedélyt a helyi pénzügyi hatóságtól, így mostantól digitális eszközkereskedési platformként működhet, és egyből felkerült az elitlistára a többi 11 jóváhagyott platform mellé...
Különösen igaz ez akkor, ha az internet hirtelen felkap egy új technológiát, majd szinte azonnal kiderül, hogy a háttérben jóval kevesebb valós újítás rejlik, mint azt elsőre gondoltuk...
Az informatikai világban alapvető változás zajlik: a hagyományos jelszavas hitelesítés ideje leáldozóban van, helyét egyre inkább a passkey technológia veszi át...
💰 Az Egyesült Államokban egyre több helyen vezetik be azokat a programokat, amelyek során közvetlenül juttatnak pénzt az embereknek, ám ezek a kezdeményezések rendszeresen kiváltják a szkeptikusok kritikáját...
Ugyanúgy, ahogy a Ferrari padlógázt nyom az egyenesben, az Apple sem vacakol: a Formula–1 mostantól saját csatornát kapott az Apple TV alkalmazásban...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Earplug (iPhone/iPad)Az Earplug egy minimalista relaxációs alkalmazás, amelyet alvásproblémák esetén használhatsz...
💻 Na, végre megérkezett a PCIe 6.0 SSD, amit most először tényleg lehet venni – persze, hogy tiszta legyen: te úgysem fogsz hozzájutni, mert ezt csak az óriási AI-adatközpontoknak dobják oda...
⛪ Na, képzeld el, ott ülsz a Szent Péter-bazilika padjában, zsibbasztod a térded, és halvány fogalmad sincs, miről beszél a pap olaszul vagy latinul...
🔥 A ’90-es évek végén, amikor a számítógépes hardver még messze nem volt ilyen gyors, a játékfejlesztőknek a lehető leghatékonyabb kódokat kellett írniuk, hogy a legmodernebb grafikát és élményt hozzák ki a gépeikből...
🚧 Az Android mindig is a szabadság szinonimája volt: a felhasználók szabadon telepíthettek alkalmazásokat külső forrásból, függetlenül a Play Áruháztól...
New York, London, Sanghaj – az Apple idén végre kimozdul az unalmas Apple Parkból, és új eseményt dob össze március 4-én, magyar idő szerint délután 3 órakor...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Tunepal (iPhone/iPad)Az alkalmazás a Sunday Times toplistáin is szerepelt: 2012-ben bekerült minden idők 500 legjobb appja közé, 2010-ben pedig az iPhone húsz legfontosabb kulturális alkalmazása között említették...
