CrowdStrike Falcon防御Git漏洞CVE-2025-48384

2025年10月16日 | Ash Leslie - Doug Brown - Mitch Datka | 终端安全与XDR

CrowdStrike发现Git漏洞CVE-2025-48384正在被主动利用。在观察到的攻击活动中，威胁行为者将复杂的社交工程策略与恶意Git仓库克隆操作相结合。这种针对性攻击链对运行未打补丁Git安装的组织构成了重大风险。

此次攻击活动强调了两个关键安全要求：及时进行软件补丁更新，以及实施涵盖检测、监控和快速事件响应能力的全面安全策略。

漏洞详情

CVE-2025-48384是Git中的一个配置文件解析漏洞，影响macOS和Linux操作系统。该漏洞源于Git在解析配置文件和子模块路径时对回车字符的不一致处理。

攻击者可以通过制作包含恶意.gitmodules文件的Git仓库来利用此漏洞，该文件包含带有尾部回车符的子模块路径。当递归克隆仓库（通过命令git clone --recursive）时，路径解析不一致性允许威胁行为者实现向攻击者指定路径的任意文件写入。通过策略性地放置符号链接并利用回车符混淆，攻击者可以将恶意内容直接写入Git子模块的hooks目录。Git随后在正常的子模块检出过程中自动执行此恶意钩子脚本，导致在受害者系统上实现任意代码执行。

在漏洞被利用后不久就发布了概念验证，突显了利用此漏洞实现受害者机器上任意目标的容易程度。

在野利用

在分析社交工程活动和在野利用过程中，CrowdStrike识别了与CVE-2025-48384相关的以下指标：

使用git clone --recursive克隆了恶意仓库
从仓库的某个子模块执行了post-checkout钩子脚本

图1显示了执行的post-checkout钩子脚本内容，该脚本使用Python执行第一阶段恶意软件脚本hooks/vm.tf，将TAR文件提取到/tmp，然后删除子模块的文件。

CrowdStrike Falcon防护覆盖

CrowdStrike Falcon®传感器的机器学习能力和基于行为的检测能力（IOA）可以自动检测和防止利用。此外，已向客户提供CrowdStrike Falcon® Next-Gen SIEM规则模板，以防护CVE-2025-48384利用。

下面的图2显示了一个攻击指标（IOA）检测，基于观察到的执行工件和回车符滥用检测这一新兴威胁。

如图3所示，CrowdStrike® Charlotte AI™完全了解检测的上下文。它提供了对活动的额外洞察，并突出了与公共CVE的关系。Charlotte AI为人工分析师提供以下"调查概述"步骤以供采取行动：

分析命令行执行及其上下文
调查进程树和相关工件以寻找可疑行为
关联用户活动和对克隆仓库的权限
审查克隆仓库内容以寻找威胁指标（IOC）

还向客户提供了针对恶意Git钩子的额外IOA覆盖（图4）。

再次，Charlotte AI完全了解检测的上下文，可以帮助人工分析师解决和修复活动（见图5）。Charlotte AI为人工分析师提供以下"调查概述"步骤以供采取行动：

评估Git命令执行的上下文，以确定其是否符合预期的开发活动
分析父进程和祖父进程，了解导致检测的操作序列
审查命令执行的环境，以识别任何异常或偏离正常使用模式的情况
将检测与Git中的已知漏洞关联，评估利用可能性
调查检测时间周围的用户活动和访问模式，以识别任何可疑行为

结论

流行应用程序中的漏洞继续对全球组织构成重大威胁。最近Git中的这个漏洞也不例外，给未打补丁的用户带来了风险。

为了保护终端免受此威胁，CrowdStrike Falcon® Insight XDR客户应确保启用以下防护策略设置：

可疑进程防护
基于脚本的执行可见性

Falcon Next-Gen SIEM规则模板"CrowdStrike - Endpoint - Git Arbitrary Write (CVE-2025-48384)“可供客户使用，用于警报可疑的Git活动，包括将疑似恶意的"post-checkout"文件写入磁盘。

附录：威胁狩猎查询

以下Falcon Next-Gen SIEM高级事件搜索查询旨在帮助防御者在他们的终端上狩猎此活动和类似活动。

注意：确保将Falcon URL更新为您环境当前配置的云（US1、US2、EU1等）

由异常Git进程写入hooks子文件夹的Post-checkout脚本：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


defineTable(
 query={
   event_platform=Mac #event_simpleName="NewScriptWritten" FilePath="*/.git/*/hooks/" FileName="post-checkout" ContextBaseFileName="git"
 },
 name="git_script_write",
 start=1d,
 include=*
)
| event_platform=Mac #event_simpleName="ProcessRollup2"
| match(file="git_script_write", field="TargetProcessId", column="ContextProcessId")
| CommandLine=/\s[a-z,\d]{15,45}/i
| format("[GraphExplorer](https://falcon.crowdstrike.com/graphs/process-explorer/tree?id=pid:%s:%s)", field=["aid", "TargetProcessId"], as=GraphExplorer)
| groupBy([aid, GraphExplorer, TargetFileName, ImageFileName, CommandLine])

狩猎包含潜在回车字符的写入磁盘文件：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


defineTable(
 query={
   event_platform=Mac  TargetFileName="*\\u000d"
 },
 name="file_containing_carriage_return_char",
 start=1d,
 include=*
)
| event_platform=Mac #event_simpleName="ProcessRollup2"
| match(file="file_containing_carriage_return_char", field="TargetProcessId", column="ContextProcessId")
| format("[GraphExplorer](https://falcon.crowdstrike.com/graphs/process-explorer/tree?id=pid:%s:%s)", field=["aid", "TargetProcessId"], as=GraphExplorer)
| groupBy([aid, GraphExplorer, TargetFileName, ImageFileName, CommandLine])

Post-checkout脚本文件内容：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


defineTable(
 query={
   event_platform=Mac  #event_simpleName="ScriptControlScanInfo" ScriptContentName="post-checkout" ScriptContent=/hooks\/vm\.tf|hooks\/mongodb\.hook\.js/
 },
 name="malicious_post_checkout_contents",
 start=1d,
 include=*
)
| event_platform=Mac #event_simpleName="ProcessRollup2"
| match(file="malicious_post_checkout_contents", field="TargetProcessId", column="ContextProcessId")
| format("[GraphExplorer](https://falcon.crowdstrike.com/graphs/process-explorer/tree?id=pid:%s:%s)", field=["aid", "TargetProcessId"], as=GraphExplorer)
| groupBy([aid, GraphExplorer, ScriptContent, ImageFileName, CommandLine])

额外资源

了解强大的CrowdStrike Falcon®平台如何为您的组织、员工和数据提供全面保护，无论它们位于何处。获取CrowdStrike Falcon Prevent™的全功能免费试用，亲身体验真正下一代AV如何应对当今最复杂的威胁。