Исследователи безопасности предупреждают о критической уязвимости в Google Gemini CLI, которая может привести к удаленному выполнению кода (RCE) в средах, где инструмент обрабатывает недоверенные входные данные.
Проблема была раскрыта исследователями из Novee Security и затрагивает пакет @google/gemini-cli и связанное с ним действие GitHub Action, широко используемое в рабочих процессах CI/CD.
«Gemini CLI (@google/gemini-cli) и GitHub Action run-gemini-cli обновляются для повышения доверия к рабочему пространству и белого списка инструментов, особенно при использовании в недоверенных средах, таких как GitHub Actions», — говорится в рекомендации GitHub, выпущенной по поводу этого недостатка.
Google признала наличие уязвимости и поблагодарила исследователей безопасности Элада Мегеда из Novee Security и Дана Лисичкина из Pillar Security за сообщение о проблеме через свою Программу вознаграждений за уязвимости.
Проблема была устранена в версиях @google/gemini-cli 0.39.1 и 0.40.0-preview.3. Исправление для run-gemini-cli также было выпущено в версии 0.1.22.
Чрезмерное доверие к конфигурациям рабочего пространства
Проблема заключалась в том, как CLI обрабатывал доверие к рабочему пространству и выполнение команд в автоматизированных, неинтерактивных средах. «В затронутых версиях Gemini CLI, работающий в средах CI, автоматически доверял папкам рабочего пространства для загрузки конфигураций и переменных среды», — говорится в рекомендации.
Злоумышленники могли легко использовать это, внедряя собственные вредоносные конфигурации в доверенное рабочее пространство.
«Уязвимость позволяла непривилегированному внешнему злоумышленнику заставить загрузить собственный вредоносный контент в качестве конфигурации Gemini», — заявил исследователь Novee Элад Мегед в посте в блоге. «Это инициировало выполнение команд непосредственно на хост-системе, обходя меры безопасности еще до инициализации песочницы агента».
Влияние уязвимости ограничивалось рабочими процессами, использующими Gemini CLI в безголовом режиме, без интерактивного интерфейса.
Хотя для этой уязвимости еще не был назначен идентификатор CVE, Мегед сообщил, что Google оценила степень серьезности в 10.0 — максимум по шкале CVSS. Максимальная оценка серьезности, вероятно, обусловлена тем, что для эксплуатации требуются низкая сложность, минимальные привилегии и минимальное или полное отсутствие взаимодействия с пользователем.
Google не сразу ответила на запрос CSO о комментариях.
Однако уязвимость была классифицирована как CWE-20, CWE-77, CWE-78 и CWE-200, которые примерно относятся к недостаткам в проверке входных данных, внедрению команд и раскрытию информации.
Поведение теперь исправлено
Google устранила проблему, исключив неявное доверие к рабочему пространству в безголовых средах и внедрив более строгий контроль инструментов, что фактически изменило поведение Gemini CLI в конвейерах CI/CD.
Исправленные версии (0.39.1 и 0.40.0-preview.3) теперь требуют явного подтверждения доверия перед загрузкой конфигураций рабочего пространства, приводя неинтерактивное выполнение в соответствие с теми же мерами безопасности, которые ожидаются при интерактивном использовании.
Кроме того, исправление закрыло критический пробел в режиме «–yolo», гарантируя, что белый список инструментов действительно применяется, предотвращая превращение слабо определенных разрешений в неограниченное выполнение команд.
Ранее можно было обойти белый список, позволяя CLI выполнять команды за пределами предусмотренных ограничений.
Google также внесла более широкое изменение в экосистему. GitHub Action run-gemini-cli (исправленный в версии 0.1.22) теперь автоматически загружает и выполняет последнюю версию CLI. Рекомендуется тем рабочим процессам, которые фиксируют определенную версию gemni-cli, обновиться до исправленного выпуска и просмотреть существующие конфигурации Gemini CLI, чтобы убедиться, что они не полагаются на небезопасные значения по умолчанию.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
