Πάνω από 5.300 παρουσίες
GitLab
που εκτίθενται στο Διαδίκτυο είναι ευάλωτες στο CVE-2023-7028, ένα ελάττωμα εξαγοράς λογαριασμού μηδενικού κλικ για το οποίο προειδοποίησε το GitLab νωρίτερα αυτόν τον μήνα.
Το κρίσιμο ελάττωμα (βαθμολογία CVSS: 10.0) επιτρέπει στους εισβολείς να στέλνουν email επαναφοράς κωδικού πρόσβασης για έναν στοχευμένο λογαριασμό σε μια διεύθυνση email που ελέγχεται από τον εισβολέα, επιτρέποντας στον παράγοντα απειλής να αλλάξει τον κωδικό πρόσβασης και να αναλάβει τον λογαριασμό.
Αν και το ελάττωμα δεν παρακάμπτει τον έλεγχο ταυτότητας δύο παραγόντων (2FA), αποτελεί σημαντικό κίνδυνο για τυχόν λογαριασμούς που δεν προστατεύονται από αυτόν τον επιπλέον μηχανισμό ασφαλείας.
Το ζήτημα επηρεάζει τις εκδόσεις GitLab Community και Enterprise Edition 16.1 πριν από 16.1.5, 16.2 πριν από 16.2.8, 16.3 πριν από 16.3.6, 16.4 πριν από 16.4.4, 16.5 πριν από 16.5.6, 16.1.6 πριν από 16.5.6, 16.1.6 πριν από 16.2.6 και 16.6. 2.
Το GitLab κυκλοφόρησε διορθώσεις στις εκδόσεις 16.7.2, 16.5.6 και 16.6.4, αναφέροντας επίσης ενημερώσεις κώδικα στις 16.1.6, 16.2.9 και 16.3.7, στις 11 Ιανουαρίου
2024
.
Σήμερα, 13 ημέρες μετά τη διάθεση των ενημερώσεων ασφαλείας, η υπηρεσία παρακολούθησης απειλών ShadowServer αναφέρει ότι 5.379 ευάλωτες περιπτώσεις GitLab εκτέθηκαν στο διαδίκτυο.
Με βάση τον ρόλο του GitLab ως πλατφόρμα ανάπτυξης λογισμικού και σχεδιασμού έργων και τον τύπο και τη σοβαρότητα του ελαττώ
ματ
ος, αυτοί οι διακομιστές κινδυνεύουν από επιθέσεις στην αλυσίδα εφοδιασμού, αποκάλυψη αποκλειστικού κώδικα,
διαρροές
κλειδιών API και άλλη κακόβουλη δραστηριότητα.
Shadowserver
Αναφορές
ότι οι περισσότεροι από τους ευάλωτους διακομιστές βρίσκονται στις Ηνωμένες Πολιτείες (964), ακολουθούμενες από τη
Γερμανία
(730), τη Ρωσία (721), την Κίνα (503), τη Γαλλία (298), το Ηνωμένο Βασίλειο (122), την Ινδία (117) και τον Καναδά (99).
Όσοι δεν έχουν επιδιορθώσει ακόμα μπορεί να έχουν ήδη παραβιαστεί, γι’ αυτό χρησιμοποιείτε το GitLab
οδηγός αντιμετώπισης περιστατικών
Και ο έλεγχος για σημάδια συμβιβασμού είναι κρίσιμος.
GitLab
κοινοποιήθηκε προηγουμένως
οι ακόλουθες συμβουλές ανίχνευσης για αμυντικούς:
-
Check gitlab-rails/production_json.log for HTTP requests to the /users/password path with params.value.email consisting of a JSON array with multiple email addresses.
-
Check gitlab-rails/audit_json.log for entries with meta.caller.id of PasswordsController#create and target_details consisting of a JSON array with multiple email addresses.
Οι διαχειριστές που βρίσκουν παρουσίες που έχουν παραβιαστεί θα πρέπει να εναλλάσσουν όλα τα διαπιστευτήρια, τα διακριτικά API, τα πιστοποιητικά και τυχόν άλλα μυστικά, εκτός από την ενεργοποίηση του 2FA σε όλους τους λογαριασμούς και την εφαρμογή της ενημέρωσης ασφαλείας.
Μετά την ασφάλιση των διακομιστών, οι διαχειριστές θα πρέπει να ελέγχουν για τροποποιήσεις στο περιβάλλον προγραμματιστή τους, συμπεριλαμβανομένου του πηγαίου κώδικα και των δυνητικά παραποιημένων αρχείων.
Μέχρι σήμερα, δεν έχουν υπάρξει επιβεβαιωμένες περιπτώσεις ενεργητικής εκμετάλλευσης του CVE-2023-7028, αλλά αυτό δεν πρέπει να ερμηνευθεί ως λόγος αναβολής της ανάληψης δράσης.
VIA:
bleepingcomputer.com
