Clone2Leak, un conjunto de vulnerabilidades recientemente identificado en GIT y su ecosistema, plantea riesgos significativos para los desarrolladores al explotar fallas en los protocolos de gestión de credenciales. Descubierto por el investigador de seguridad Ryotak de GMO Flatt Security, estas vulnerabilidades podrían permitir a los atacantes filtrar credenciales almacenadas y acceder a repositorios confidenciales. Si bien se han publicado parches para abordar los problemas, las revelaciones destacan la importancia de la vigilancia en la obtención de herramientas de desarrollo.
Clone2Leak explota los defectos de la credencial de Git
El ataque Clone2Leak se basa en el análisis incorrecto de las solicitudes de autenticación de Git y sus herramientas asociadas, como GitHub Desktop, GIT LFS, GitHub CLI y Git Credential Manager. Los ayudantes de credenciales, diseñados para simplificar la autenticación, se convirtieron en el vector de ataque debido a su mal manejo de URL especialmente elaboradas. Cada vulnerabilidad expone una vía única para que los atacantes exploten.
“Al usar un ayudante de credencial, Git utiliza un protocolo basado en línea para pasar información entre sí mismo y el ayudante de credencial. Se puede utilizar una URL especialmente hechas que contiene un retorno de carro para inyectar valores no deseados en la transmisión de protocolo, lo que hace que el ayudante recupere la contraseña para un servidor mientras lo envía a otro ”. Estados de Github.
La primera categoría de ataque, conocida como contrabando de retorno de carro, fue rastreada como CVE-2025-23040 y CVE-2024-50338. Estas vulnerabilidades afectaron el Github Desktop y Git Credential Manager, donde un personaje `%0d` integrado en una URL maliciosa podría engañar a las herramientas para enviar credenciales a un servidor no autorizado. Según Ryotakesta falla explotó las discrepancias en cómo GIT y sus ayudantes procesaron los caracteres de retorno del carro en las solicitudes de autenticación.
Otro método de ataque implicó inyección de Newline (CVE-2024-53263), que explotó la indulgencia de Git LFS en el manejo de los caracteres Newline (` n`) dentro de los archivos ‘.lfsconfig`. Los atacantes podrían manipular las solicitudes de credenciales para redirigir las respuestas de Git a los servidores maliciosos. Finalmente, fallas lógicas en la recuperación de credenciales (CVE-2024-53858) GitHub CLI y CodeSpaces dirigidos. Estas herramientas tenían ayudantes credenciales demasiado permisivos, lo que permitió a los atacantes redirigir los tokens de autenticación al atraer a los usuarios a clonar repositorios maliciosos.
Mitigar los riesgos de Clone2Leak
Todas las vulnerabilidades identificadas ahora se han abordado a través de parches. Se insta a los usuarios a actualizar sus herramientas a las siguientes versiones seguras: Github Desktop 3.4.12 o más nuevo, Git Credential Manager 2.6.1 o más nueva, GIT LFS 3.6.1 o posterior, y GitHub CLI 2.63.0 o posterior. Además, Git versión 2.48.1 resolución un problema relacionado (CVE-2024-52006), que evita que las URL con los caracteres de retorno del carro se procesen.
Para mitigar aún más los riesgos, se aconseja a los desarrolladores que habiliten la configuración de `credencial.protectprotocol` de Git. Esta configuración agrega una capa adicional de defensa contra los ataques de contrabando de credenciales. Otras recomendaciones incluyen auditar configuraciones de credenciales y ejercer precaución al clonar repositorios, particularmente aquellos que requieren credenciales.
«Usando una URL de forma maliciosa, es posible causar que la solicitud de credencial provenga de GIT sea malinterpretada por GitHub Desktop, de modo que enviará credenciales para un anfitrión diferente al que GIT se está comunicando actualmente», explicó GitHub en una dirección asesora CVE-2025-23040. La declaración subraya la gravedad potencial del problema, incluso cuando se han implementado soluciones.
9 fallas de seguridad fijadas en iOS 18.3: ¿Deberías confiar en Apple Intelligence ahora?
Problemas sistémicos en la gestión de credenciales
Clone2Leak no es un incidente aislado, sino un reflejo de las debilidades sistémicas en cómo GIT y sus herramientas manejan los protocolos de autenticación. Las vulnerabilidades explotaron el protocolo de credencial de texto de Git, que se basa en pares de valor clave separados por Newline para la comunicación. Si bien existen protecciones para evitar la inyección de la propiedad, las discrepancias en los comportamientos de análisis crearon brechas explotables.
Por ejemplo, GitHub Desktop y Git Credential Manager malinterpretaron los caracteres de retorno del carro, mientras que Git LFS no pudo validar los caracteres de Newline integrados en los archivos de configuración. Estos supervisión permitieron a los atacantes elaborar URL maliciosas capaces de exfiltrar las credenciales.
Los hallazgos de Ryotak también revelan cómo las variables ambientales en los espacios de códigos GitHub contribuyeron a los defectos. Al establecer ‘Codespaces` en «verdadero», los atacantes podrían asegurarse de que los repositorios clonados filtraran automáticamente los tokens de acceso a hosts no autorizados. Estas ideas destacan la necesidad de una validación rigurosa de los parámetros en los protocolos de credenciales.
“Cuando GIT necesita completar las credenciales de manera interactiva sin el uso de un ayudante de credencial, imprime el nombre de host y le pide al usuario que complete el par apropiado de nombre de usuario/contraseña para ese host. Sin embargo, Git imprime el nombre de host después de que la URL lo decodifique ”, señaló Github en su explicación de CVE-2024-50349. La vulnerabilidad, ahora parcheada, ejemplifica cómo las fallas sutiles en el diseño pueden conducir a riesgos de seguridad significativos.
