Троянский форк в GitFlic: как легитимная операция становится вектором атаки на CI/CD-инфраструктуру

Исследователи обнаружили в GitFlic — российской платформе для хостинга исходного кода от компании «РеСолют» — уязвимость, позволяющую выполнить произвольный код на CI/CD-воркере чужой приватной компании через обычную операцию форка репозитория.

Механика атаки эксплуатирует доверие CI/CD-систем к форкам. Поскольку форк воспринимается как штатная и безопасная операция, системы не применяют к нему достаточных ограничений. Злоумышленник может создать форк, внедрить в него вредоносный код и инициировать пайплайн, который выполнит этот код в контексте CI/CD-воркера атакуемой компании. Это открывает путь к компрометации инфраструктуры, утечке артефактов сборки, секретов и внутренних данных.

Платформа GitFlic позиционируется как отечественная альтернатива GitLab и во многом повторяет его архитектуру. Создатели из компании «РеСолют» реализовали основной функционал на приемлемом уровне — для пользователя, знакомого с GitLab, интерфейс GitFlic вызывает ощущение дежавю. Однако именно сходство с GitLab означает, что уязвимости, обнаруженные в одной системе, потенциально могут проявиться и в другой.

Выявленные уязвимости были оперативно устранены разработчиками «РеСолют». Все три уязвимости зарегистрированы в Базе данных угроз ФСТЭК России: BDU:2025-12462, BDU:2025-12463 и BDU:2025-12464. Инцидент подчёркивает необходимость пересмотра доверия к привычным операциям в системах непрерывной интеграции: даже тривиальный форк может стать точкой входа в корпоративную инфраструктуру, если права доступа настроены без учёта риска цепочки атак.