Maximális súlyosságú GitLab-hiba, amely lehetővé teszi a fiókok eltérítését az aktív kihasználás során | EatchbQ

Maximális súlyosságú GitLab-hiba, amely lehetővé teszi a fiókok eltérítését az aktív kihasználás során

A szövetségi kormány tisztviselői figyelmeztettek egy maximálisan súlyos biztonsági rést, amely lehetővé teszi a hackerek számára, hogy felhasználói beavatkozás nélkül eltérítsék a GitLab-fiókokat, mivel az adatok szerint több ezer felhasználónak még nem kellett telepítenie a januárban kiadott javítást.

A GitLab 2023 májusában végrehajtott módosítása lehetővé tette a felhasználók számára, hogy a másodlagos e-mail címekre küldött linkeken keresztül kezdeményezzék a jelszavak módosítását. A lépés célja, hogy lehetővé tegye a visszaállításokat, amikor a felhasználók nem fértek hozzá a fiók létrehozásához használt e-mail címhez. Januárban a GitLab kiderült hogy a funkció lehetővé tette a támadók számára, hogy visszaállítási e-maileket küldjenek az általuk felügyelt fiókoknak, majd a beágyazott hivatkozásra kattintva átvegyék a fiókot.

Míg a kihasználások nem igényelnek felhasználói beavatkozást, a feltörések csak olyan fiókok ellen működnek, amelyek nincsenek beállítva többtényezős hitelesítés használatára. A fiókok még az MFA mellett is sebezhetőek maradtak a jelszó-visszaállítással szemben, de a támadók végül nem tudnak hozzáférni a fiókhoz, így a jogos tulajdonos megváltoztathatja a visszaállított jelszót. A CVE-2023-7028 jelzésű sebezhetőség súlyossági besorolása 10/10.

Szerda, az Egyesült Államok Kiberbiztonsági és Infrastruktúrabiztonsági Ügynöksége mondott tudatában van az “aktív kihasználás bizonyítékának”, és felvette a sebezhetőséget az ismert kihasznált sebezhetőségek listájára. A természetben történt támadásokról a CISA nem közölt részleteket. A GitLab képviselője nem volt hajlandó részleteket közölni a sérülékenység aktív kihasználásával kapcsolatban.

A nem megfelelő hozzáférés-szabályozási hibának minősített sebezhetőség komoly veszélyt jelenthet. A GitLab szoftver általában több, a felhasználók tulajdonában lévő fejlesztői környezethez is hozzáfér. A hozzájuk való hozzáférés és a rejtett változtatások bevezetése révén a támadók szabotálhatnak olyan projekteket vagy hátsó ajtókat telepíthetnek, amelyek bárkit megfertőzhetnek a feltört környezetbe épített szoftverek használatával. Egy hasonló ellátási lánc támadásra példa az a támadás, amely 2021-ben érte a SolarWindst, és több mint 18 000 ügyfelét fertőzte meg. További közelmúltbeli példák az ellátási lánc támadásaira itt, itt és itt.

Az ilyen típusú támadások erősek. Egyetlen, gondosan kiválasztott célpont feltörése révén a támadók több ezer továbbfelhasználó megfertőzésére tehetnek szert, gyakran anélkül, hogy bármit is kellene tenniük.

A Shadowserver biztonsági szervezet által végzett internetes vizsgálatok szerint több mint 2100 IP-címet találtak egy vagy több sebezhető GitLab-példánynak.

Árnyékszerver

Az IP-címek legnagyobb koncentrációja Indiában volt, ezt követi az Egyesült Államok, Indonézia, Algéria és Thaiföld.

Árnyékszerver

A sebezhető példányokat mutató IP-címek száma idővel csökkent. A Shadowserver azt mutatja, hogy több mint 5300 cím volt január 22-én, egy héttel azután, hogy a GitLab kiadta a javítást.

Árnyékszerver

A biztonsági rés nem megfelelő hozzáférés-vezérlési hibának minősül.

A CISA arra utasította mindazon polgári szövetségi ügynökségeket, amelyek még nem javították be a sebezhetőséget, hogy ezt azonnal tegyék meg. Az ügynökség nem említette az MFA-t, de minden GitLab-felhasználónak, aki még nem tette meg, engedélyeznie kell azt, ideális esetben olyan űrlappal, amely megfelel FIDO ipari sztenderd.

A GitLab-felhasználóknak emlékezniük kell arra is, hogy a javítások semmit sem tesznek annak érdekében, hogy megvédjék azokat a rendszereket, amelyeket már kizsákmányoltak. A GitLab útmutatást tett közzé az incidensek kezelésére itt.

Leave a Reply

Your email address will not be published. Required fields are marked *