A CISA egy maximális súlyosságú GitLab sebezhetőség aktív kihasználására figyelmeztet, amely lehetővé teszi a támadó számára, hogy jelszó visszaállítással átvegye a fiók irányítását.
A CVE-2023-7028 néven nyomon követett sérülékenységet hozzáadták a KEV katalógusához, megerősítve, hogy azt már aktívan kihasználják támadásokban, és utasította az amerikai szövetségi ügynökségeket, hogy három héten belül biztosítsák rendszereiket.
A GitLab érzékeny adatoknak ad otthont, köztük saját kódoknak és API kulcsoknak, és a fiókok eltérítése jelentős következményekkel járhat. A sikeres kihasználás olyan ellátási láncot érintő támadásokhoz is vezethet, amelyek a rosszindulatú kód CI/CD környezetekbe illesztésével veszélyeztethetik a tárolókat.
A sérülékenység egy nem megfelelő hozzáférés szabályozási gyengeség, amely lehetővé teszi a távoli, hitelesítés nélküli támadó számára, hogy jelszó visszaállítási e-maileket küldjenek az ellenőrzésük alatt álló e-mail fiókoknak, megváltoztassák a jelszót, és felhasználói beavatkozás nélkül eltérítsék a célzott fiókokat.
Bár a támadók nem tudják kihasználni ezt a sebezhetőséget olyan fiókok eltérítésére, ahol a kétfaktoros hitelesítés engedélyezve van, kritikus fontosságú az olyan rendszerek patchelése, ahol a fiókokat nem védik ezzel a kiegészítő biztonsági intézkedéssel.
A GitLab Community és Enterprise kiadásai érintettek, és a GitLab a 16.7.2, 16.5.6 és 16.6.4 verziókban javította, valamint a 16.1.6, 16.2.9 és 16.3.7 verziókba visszaportolta a javításokat.
Az amerikai kiberbiztonsági ügynökség nem osztott meg semmilyen információt a GitLab maximális súlyosságú biztonsági hibáját kihasználó, folyamatban lévő támadásokról, de azt megerősítette, hogy nincs bizonyítéka arra, hogy azt zsarolóprogram támadásokban használják.
Akik még nem telepítették a javítást, azok már veszélybe kerülhettek, ezért érdemes követniük a GitLab incidensreagálási útmutatóját, és a lehető leghamarabb ellenőrizni a veszélyeztetés jeleit.
