Clone2Leak, una nuova serie di vulnerabilità in GIT e nel suo ecosistema, pone rischi significativi per gli sviluppatori sfruttando i difetti nei protocolli di gestione delle credenziali. Scoperto dal ricercatore della sicurezza Ryotak di OGM Flatt Security, queste vulnerabilità potrebbero consentire agli aggressori di perdite di credenziali immagazzinate e accedere a repository sensibili. Mentre le patch sono state rilasciate per affrontare i problemi, le rivelazioni evidenziano l’importanza della vigilanza nel garantire strumenti di sviluppo.
Clone2 gleak exploit difetti di credenziali di Git
L’attacco Clone2Leak si basa sull’analisi impropria delle richieste di autenticazione da parte di Git e dei suoi strumenti associati, come Github Desktop, Git LFS, GitHub CLI e GIT Credential Manager. Gli aiutanti delle credenziali, progettate per semplificare l’autenticazione, sono diventati il vettore di attacco a causa del loro malvagio di URL appositamente realizzati. Ogni vulnerabilità espone una strada unica per gli aggressori da sfruttare.
“Quando si utilizza un aiutante delle credenziali, Git utilizza un protocollo basato su linea per passare informazioni tra se stesso e l’aiutante delle credenziali. Un URL appositamente realizzato contenente un ritorno di trasporto può essere utilizzato per iniettare valori non intenzionali nel flusso di protocollo, facendo sì che il aiutante recuperasse la password per un server durante l’invio a un altro “, GitHub afferma.
La prima categoria di attacco, nota come contrabbando di ritorno in carrozza, è stata monitorata come CVE-2025-23040 E CVE-2024-50338. Queste vulnerabilità hanno influito su Github Desktop e GIT Credential Manager, in cui un personaggio `%0D” incorporato in un URL dannoso potrebbe indurre gli strumenti a inviare credenziali a un server non autorizzato. Secondo Ryotakquesto difetto ha sfruttato le discrepanze nel modo in cui Git e i suoi aiutanti hanno elaborato i caratteri di ritorno del trasporto nelle richieste di autenticazione.
Un altro metodo di attacco ha comportato l’iniezione di Newline (CVE-2024-53263), che ha sfruttato la clemenza di Git LFS nella gestione dei caratteri di Newline (` N`) all’interno di file` .lfsconfig`. Gli aggressori potrebbero manipolare le richieste credenziali per reindirizzare le risposte di Git a server dannosi. Infine, i difetti della logica nel recupero delle credenziali (CVE-2024-53858) Githeb CLI e Codespace mirati. Questi strumenti avevano aiutanti di credenziali eccessivamente permissivi, consentendo agli aggressori di reindirizzare i token di autenticazione attirando gli utenti in clonazioni di repository dannosi.
Mitigare i rischi di clone2
Tutte le vulnerabilità identificate sono state affrontate attraverso le patch. Gli utenti sono invitati ad aggiornare i propri strumenti alle seguenti versioni sicure: Github Desktop 3.4.12 o più recente, Gestione delle credenziali GIT 2.6.1 o più recente, Git LFS 3.6.1 o successive e Github CLI 2.63.0 o successivo. Inoltre, Git versione 2.48.1 risolve un problema correlato (CVE-2024-52006), che impedisce agli URL di elaborare i caratteri del ritorno del trasporto.
Per mitigare ulteriormente i rischi, si consiglia agli sviluppatori di consentire l’impostazione di credential.protectprotocol “di Git. Questa configurazione aggiunge un ulteriore livello di difesa contro gli attacchi di contrabbando di credenziali. Altre raccomandazioni includono configurazioni di credenziali di controllo e esercizio di cautela durante la clonazione di repository, in particolare quelli che richiedono credenziali.
“Utilizzando un URL realizzato maliziosamente, è possibile far sì che la richiesta di credenziali provenga da GIT interpretata erroneamente da Github Desktop, in modo tale da inviare credenziali per un host diverso rispetto a quello con cui Git sta attualmente comunicando” CVE-2025-23040. L’affermazione sottolinea la potenziale gravità del problema, anche se le correzioni sono state implementate.
9 difetti di sicurezza fissati in iOS 18.3: dovresti fidarti di Apple Intelligence adesso?
Problemi sistemici nella gestione delle credenziali
Clone2Leak non è un incidente isolato ma un riflesso di debolezze sistemiche nel modo in cui Git e i suoi strumenti gestiscono i protocolli di autenticazione. Le vulnerabilità hanno sfruttato il protocollo credenziale basato su testo di Git, che si basa su coppie di valore chiave separato da Newline per la comunicazione. Mentre esistono protezioni per prevenire l’iniezione di proprietà, le discrepanze nei comportamenti di analisi hanno creato lacune sfruttabili.
Ad esempio, GitHub Desktop e GIT Credential Manager erroneamente interpretato con i personaggi di ritorno del trasporto, mentre Git LFS non è riuscito a convalidare i caratteri di Newline incorporati nei file di configurazione. Queste sviste hanno permesso agli aggressori di creare URL dannosi in grado di esfiltrare le credenziali.
I risultati di Ryotak rivelano anche come le variabili ambientali nei codespazi di Github hanno contribuito ai difetti. Impostando “Codespaces” su “True”, gli aggressori potrebbero garantire che i repository clonati abbiano trapelato automaticamente token di accesso a host non autorizzati. Queste intuizioni evidenziano la necessità di una rigorosa convalida dei parametri nei protocolli di credenziali.
“Quando Git deve compilare le credenziali in modo interattivo senza l’uso di un aiutante delle credenziali, stampare il nome host e chiede all’utente di compilare la coppia di nomi utente/password appropriata per quell’host. Tuttavia, Git stampica il nome host dopo averlo decodificato URL ”, ha osservato GitHub nella sua spiegazione di CVE-2024-50349. La vulnerabilità, ora patchate, esemplifica come i sottili difetti nella progettazione possono portare a rischi significativi per la sicurezza.
