Новости Zero-click в GitLab: 5 критических уязвимостей способны скомпрометировать любую цепочку поставок

[NewsMaker]

Компания призывает пользователей обновиться как можно скорее.

---

---

Компания GitLab Для просмотра ссылки Войди или Зарегистрируйся как для Community, так и для Enterprise Edition в целях устранения ряда критических уязвимостей. Разработчики настоятельно рекомендуют обновить все уязвимые версии платформы DevSecOps (требуется ручное обновление для самостоятельно размещённых установок). При этом подчёркивается, если тип развёртывания продукта не указан — значит затронуты все типы.

Наиболее критическая проблема безопасности, исправленная GitLab, имеет максимальный уровень серьёзности (10 из 10 по шкале CVSS ) и отслеживается под идентификатором Для просмотра ссылки Войди или Зарегистрируйся . Это Zero-Click уязвимость, её успешная эксплуатация не требует взаимодействия с пользователем.

Проблема кроется в процессе аутентификации и позволяет злоумышленникам отправлять запросы для сброса пароля на произвольные, непроверенные электронные адреса, что и ведёт к последующему захвату учётной записи. Если на аккаунте активна двухфакторная аутентификация ( 2FA ), пароль можно сбросить, но для успешного входа всё равно потребуется пройти второй фактор аутентификации.

Захват учётной записи GitLab может серьёзно повлиять на организацию, поскольку платформа обычно используется для хранения кода, ключей API и других конфиденциальных данных. Другой риск — это атаки на цепочку поставок, когда злоумышленники могут скомпрометировать репозитории, скрытно вставляя вредоносный код в рабочие среды, когда GitLab используется для CI/CD (непрерывной интеграции и развёртывания).

Уязвимость была обнаружена исследователем безопасности «Asterion». По его информации, она была введена на платформу 1 мая 2023 года с версией 16.1.0.

Затронуты следующие версии:

• 16.1 до 16.1.5
• 16.2 до 16.2.8
• 16.3 до 16.3.6
• 16.4 до 16.4.4
• 16.5 до 16.5.6
• 16.6 до 16.6.4
• 16.7 до 16.7.2

Проблема была устранена в версиях GitLab 16.7.2, 16.5.6 и 16.6.4, и также было перенесено в версии 16.1.6, 16.2.9 и 16.3.7.

GitLab сообщает, что не обнаружила случаев активной эксплуатации CVE-2023-7028, однако, на всякий случай, предоставила ряд признаков компрометации в Для просмотра ссылки Войди или Зарегистрируйся .

Вторая критическая проблема идентифицирована как Для просмотра ссылки Войди или Зарегистрируйся и имеет оценку серьёзности 9.6 из 10. Злоумышленники могут использовать её для злоупотребления интеграциями Slack / Mattermost , выполняя команды slash от имени другого пользователя.

В Mattermost команды slash позволяют интегрировать внешние приложения в рабочую область, а в Slack они действуют как ярлыки для вызова приложений в окне Message Composer.

Также в GitLab 16.7.2 были исправлены следующие недостатки безопасности:

• Для просмотра ссылки Войди или Зарегистрируйся . Высокоуровневая уязвимость в GitLab 15.3 и более поздних версиях, позволяющая обходить утверждение CODEOWNERS путём внесения изменений в ранее одобренный запрос на слияние.
• Для просмотра ссылки Войди или Зарегистрируйся . Неправильный контроль доступа для рабочих пространств, существующих в GitLab до версии 16.7.2, позволяющий злоумышленникам создавать рабочее пространство в одной группе, связанное с агентом из другой группы.
• Для просмотра ссылки Войди или Зарегистрируйся . Проблема проверки подписи коммитов, влияющая на версии GitLab CE/EE с 12.2 и выше, связанная с возможностью изменения метаданных подписанных коммитов из-за неправильной проверки подписи.

Инструкции и официальные ресурсы для обновления можно найти на Для просмотра ссылки Войди или Зарегистрируйся . А для Gitlab Runner посетить Для просмотра ссылки Войди или Зарегистрируйся .