CISA แจ้งเตือนเกี่ยวกับช่องโหว่การประมวลผลโค้ดใน Git ที่กำลังถูกใช้ในการโจมตี

CISA ออกประกาศเตือนว่ามี Hacker กำลังใช้ประโยชน์จากช่องโหว่ Arbitrary Code Execution ในระบบ Git Distributed Version Control System และได้เพิ่มช่องโหว่นี้เข้าไปใน Known Exploited Vulnerabilities Catalog และกำหนด Deadline ให้หน่วยงานรัฐบาลกลางอัปเดตแพทช์ภายในวันที่ 15 กันยายน

ระบบ Version Control ของ Git เป็นเครื่องมือสำคัญที่ช่วยให้ทีมพัฒนาซอฟต์แวร์สามารถติดตาม และจัดการการเปลี่ยนแปลงของ Source Code ในโปรเจกต์ได้อย่างเป็นระบบ ทั้งยังเป็นพื้นฐานของ platform ยอดนิยม เช่น GitHub, GitLab และ Bitbucket

ช่องโหว่นี้เป็นระดับ High Severity และมีหมายเลข CVE-2025-48384 สาเหตุเกิดจากการที่ Git จัดการอักขระ Carriage Return (\r) ในไฟล์ Config ไม่ถูกต้อง

เหตุการณ์นี้ทำให้เกิดความไม่ตรงกันระหว่างการบันทึกกับอ่านไฟล์ จึงทำให้ Git ระบุ Path ของ Submodule ผิด

Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้ได้ โดยการเผยแพร่ Repository ที่มี Submodule ลงท้ายด้วย \r และแนบ Symlink ที่ออกแบบมาเพื่อรัน Hook อันตราย ส่งผลให้เกิด การรันโค้ดได้ตามที่ต้องการ (arbitrary code execution) บนเครื่องของผู้ที่ทำการ Clone Repository เหล่านั้น

Git ค้นพบปัญหานี้เมื่อวันที่ 8 กรกฎาคม 2025 และได้ออกแพตช์แก้ไขในเวอร์ชัน 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 และ 2.50.1

หากไม่สามารถอัปเดตเวอร์ชันได้ทันที มีคำแนะนำดังนี้

  • หลีกเลี่ยงการทำ Recursive Submodule Clone จากแหล่งที่ไม่น่าเชื่อถือ
  • ปิดการใช้งาน Git Hooks ทั้งระบบด้วย core.hooksPath
  • ใช้เฉพาะ Submodule ที่ผ่านการตรวจสอบแล้วเท่านั้น

นอกจากนี้ CISA ยังได้เพิ่มช่องโหว่อีก 2 รายการของ Citrix Session Recording เข้าไปใน KEV catalog ได้แก่

  • CVE-2024-8068: ผู้ใช้ที่ยืนยันตัวตนได้ และอยู่ใน Active Directory เดียวกับ Session Recording server สามารถยกระดับสิทธิ์ขึ้นเป็น NetworkService Account ได้
  • CVE-2024-8069: ผู้ใช้ในเครือข่ายภายในที่ยืนยันตัวตนแล้ว สามารถรันโค้ดบางส่วนได้ด้วยสิทธิ์ NetworkService ผ่านการ Deserialization ของข้อมูลที่ไม่น่าเชื่อถือ

ช่องโหว่ทั้งสองรายการกระทบกับ Citrix Session Recording เวอร์ชันก่อนหน้า:

  • 2407 hotfix 24.5.200.8 (CR)
  • 1912 LTSR ก่อน CU9 hotfix 19.12.9100.6
  • 2203 LTSR ก่อน CU5 hotfix 22.03.5100.11
  • 2402 LTSR ก่อน CU1 hotfix 24.02.1200.16

CISA กำหนด Deadline เดียวกัน คือ 15 กันยายน 2025 ให้องค์กรเร่งอัปเดตแพตช์ หรือหยุดใช้งานผลิตภัณฑ์ดังกล่าวทันที

ที่มา : bleepingcomputer