### CISA alerta sobre explotación activa de vulnerabilidad crítica en Git para ejecución remota de código
#### Introducción
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido recientemente una alerta dirigida a profesionales de la ciberseguridad, advirtiendo sobre la explotación activa de una vulnerabilidad crítica en Git, el sistema de control de versiones distribuido más utilizado en entornos de desarrollo y operaciones (DevOps). Este fallo, que permite la ejecución arbitraria de código, está siendo aprovechado por actores maliciosos para comprometer repositorios y sistemas, poniendo en riesgo la integridad de cadenas de suministro de software a nivel global.
#### Contexto del Incidente o Vulnerabilidad
Git es una herramienta esencial en el ecosistema de desarrollo de software moderno. Utilizada por millones de proyectos, desde código abierto hasta aplicaciones empresariales, su presencia ubicua convierte cualquier vulnerabilidad crítica en un vector de ataque de alto impacto. El aviso de CISA se focaliza en una vulnerabilidad identificada recientemente y catalogada como CVE-2024-32002. Este fallo afecta a múltiples versiones de Git y, según los informes recibidos, ya ha sido objeto de explotación activa, lo que incrementa el nivel de criticidad y justifica la inclusión de la vulnerabilidad en el catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA.
#### Detalles Técnicos
La vulnerabilidad CVE-2024-32002 reside en el procesamiento de archivos `.git` y puede ser explotada por un atacante remoto al persuadir a la víctima para que clone un repositorio malicioso o interactúe con un repositorio comprometido. El fallo permite la ejecución de código arbitrario en el sistema de la víctima con los privilegios del usuario que ejecuta Git.
**Versiones Afectadas:**
– Git 2.45.0 y anteriores en todas las plataformas principales (Windows, Linux, macOS).
**Vectores de Ataque:**
– Ingeniería social para que desarrolladores clonen repositorios maliciosos.
– Manipulación de hooks (`pre-commit`, `post-checkout`, etc.) y archivos de configuración dentro de proyectos comprometidos.
**TTP según MITRE ATT&CK:**
– TA0001 (Initial Access): Spearphishing via malicious repositories.
– TA0002 (Execution): User execution of malicious scripts.
– T1059 (Command and Scripting Interpreter): Uso de scripts embebidos en repositorios.
**Indicadores de Compromiso (IoC):**
– Repositorios con archivos `.git/hooks` alterados.
– Actividad inusual en sistemas de integración continua (CI/CD) tras clonado de repositorios.
– Ejecución de binarios o scripts no autorizados tras operaciones de Git.
**Exploits conocidos:**
– Módulos experimentales en Metasploit y PoCs en repositorios públicos como GitHub han sido detectados, facilitando la explotación automatizada del fallo.
#### Impacto y Riesgos
La explotación de CVE-2024-32002 puede llevar al compromiso total de los entornos de desarrollo y producción. Dada la integración de Git en pipelines de CI/CD, la vulnerabilidad permite a atacantes desplegar malware, robar credenciales, modificar código fuente y facilitar ataques de cadena de suministro, similar a incidentes como el de SolarWinds.
– **Alcance:** Se estima que más del 70% de los entornos DevOps empresariales utilizan Git, lo que podría traducirse en millones de sistemas potencialmente expuestos.
– **Riesgos regulatorios:** El compromiso de repositorios puede derivar en brechas de datos bajo el marco GDPR y la directiva NIS2, con multas de hasta el 4% de la facturación global anual.
– **Impacto económico:** Según estimaciones de Gartner, el coste medio de un incidente de cadena de suministro supera los 4,5 millones de dólares.
#### Medidas de Mitigación y Recomendaciones
CISA y el equipo de desarrolladores de Git recomiendan la actualización inmediata a la versión 2.45.1 o superior, donde el fallo ha sido corregido. Adicionalmente, se aconseja:
– **Deshabilitar la ejecución automática de hooks** en entornos sensibles.
– **Auditar repositorios** y pipelines de CI/CD en busca de archivos y configuraciones sospechosas.
– **Implementar controles de acceso estrictos** y segmentación de redes para limitar el impacto de un posible compromiso.
– Uso de herramientas de EDR y monitorización de integridad de archivos para detectar actividad anómala tras operaciones de Git.
#### Opinión de Expertos
Pedro López, analista de amenazas en S2 Grupo, señala: “La explotación de esta vulnerabilidad representa una amenaza significativa para la cadena de suministro de software, especialmente en entornos donde las buenas prácticas de higiene en el uso de Git no están debidamente aplicadas. La actualización inmediata y la revisión de procesos de integración son imprescindibles”.
Por su parte, Marta Ruiz, CISO de una multinacional tecnológica, advierte: “Este incidente refuerza la necesidad de formación continua a los desarrolladores sobre los riesgos asociados a operaciones aparentemente rutinarias como el clonado de repositorios”.
#### Implicaciones para Empresas y Usuarios
Las organizaciones deben revisar sus políticas de seguridad en torno a Git y considerar medidas adicionales como el aislamiento de entornos de desarrollo, la revisión de dependencias externas y la implementación de soluciones de monitorización avanzada. La explotación de esta vulnerabilidad puede facilitar ataques de ransomware, robo de propiedad intelectual y la inserción de puertas traseras en productos software.
Para usuarios individuales y desarrolladores, es prioritario actualizar sus instalaciones de Git y evitar clonar repositorios de fuentes no verificadas.
#### Conclusiones
La vulnerabilidad CVE-2024-32002 en Git subraya la importancia de mantener una postura proactiva en materia de ciberseguridad, especialmente en herramientas críticas para el ciclo de vida del software. La explotación activa detectada por CISA es un recordatorio de que la seguridad en la cadena de suministro debe ser una prioridad estratégica, combinando actualizaciones ágiles, formación y monitorización avanzada.
(Fuente: www.bleepingcomputer.com)