Em suas mais recentes atualizações de segurança, o GitLab alerta sobre falha crítica de sequestro de conta sem clique.
O GitLab lançou atualizações de segurança para as edições Community e Enterprise para solucionar duas vulnerabilidades críticas, uma delas permitindo o sequestro de contas sem interação do usuário.
O fornecedor recomenda fortemente a atualização o mais rápido possível de todas as versões vulneráveis da plataforma DevSecOps (atualização manual necessária para instalações auto-hospedadas) e alerta que se não houver “nenhum tipo de implantação específico (omnibus, código-fonte, gráfico de leme, etc.) de um produto é mencionado, isso significa que todos os tipos são afetados”.
GitLab alerta sobre falha crítica de sequestro de conta sem clique
Sim. O GitLab alerta sobre falha crítica de sequestro de conta sem clique. O problema de segurança mais crítico corrigido pelo GitLab tem a pontuação de gravidade máxima (10 em 10) e está sendo rastreado como CVE-2023-7028. A exploração bem-sucedida não requer nenhuma interação.
É um problema de autenticação que permite que solicitações de redefinição de senha sejam enviadas para endereços de e-mail arbitrários e não verificados, permitindo o controle da conta.
Se a autenticação de dois fatores (2FA) estiver ativa, será possível redefinir a senha, mas o segundo fator de autenticação ainda será necessário para o login bem-sucedido.
O sequestro de uma conta GitLab pode ter um impacto significativo em uma organização, uma vez que a plataforma é normalmente usada para hospedar código proprietário, chaves de API e outros dados confidenciais.
Outro risco é o de ataques à cadeia de suprimentos, onde os invasores podem comprometer repositórios inserindo código malicioso em ambientes ativos quando o GitLab é usado para CI/CD (Integração Contínua/Implantação Contínua).
O problema foi descoberto e relatado ao GitLab pelo pesquisador de segurança ‘Asterion’ por meio da plataforma de recompensas de bugs HackerOne e foi introduzido em 1º de maio de 2023, com a versão 16.1.0.
As seguintes versões são afetadas:
- 16.1 antes de 16.1.5
- 16.2 antes de 16.2.8
- 16.3 antes de 16.3.6
- 16.4 antes de 16.4.4
- 16.5 antes de 16.5.6
- 16.6 antes de 16.6.4
- 16.7 antes de 16.7.2
A falha foi corrigida nas versões 16.7.2, 16.5.6 e 16.6.4 do GitLab, e a correção também foi transferida para 16.1.6, 16.2.9 e 16.3.7.
O GitLab afirma que não detectou nenhum caso de exploração ativa do CVE-2023-7028, mas compartilhou os seguintes sinais de comprometimento para os defensores:
Check gitlab-rails/production_json.log for HTTP requests to the /users/password path with params.value.email consisting of a JSON array with multiple email addresses.Check gitlab-rails/audit_json.log for entries with meta.caller.id of PasswordsController#create and target_details consisting of a JSON array with multiple email addresses.
O segundo problema crítico é identificado como CVE-2023-5356 e tem uma pontuação de gravidade de 9,6 em 10. Um invasor pode explorá-lo para abusar das integrações Slack/Mattermost para executar comandos de barra como outro usuário.
No Mattermost, os comandos de barra permitem integrar aplicativos externos ao espaço de trabalho e no Slack atuam como atalhos para invocar aplicativos na caixa do compositor de mesasge.
O restante das falhas que o GitLab corrigiu na versão 16.7.2 são:
- CVE-2023-4812 : Vulnerabilidade de alta gravidade no GitLab 15.3 e posterior, permitindo ignorar a aprovação de CODEOWNERS fazendo alterações em uma solicitação de mesclagem aprovada anteriormente.
- CVE-2023-6955 : Controle de acesso inadequado para espaços de trabalho existentes no GitLab antes de 16.7.2, permitindo que invasores criem um espaço de trabalho em um grupo associado a um agente de outro grupo.
- CVE-2023-2030 : Falha de validação de assinatura de commit impactando GitLab CE/EE versões 12.2 e posteriores, envolvendo a possibilidade de modificar os metadados de commits assinados devido à validação de assinatura inadequada
Para obter instruções e recursos oficiais de atualização, verifique a página de atualização do GitLab. Para Gitlab Runner, visite esta página web.
