Агентство кибербезопасности и инфраструктуры безопасности США (CISA) добавило критический недостаток, влияющий на GitLab, в свой каталог известных эксплуатируемых уязвимостей (KEV) из-за активной эксплуатации в естественных условиях.
Отслеживаемая как CVE-2023-7028 (оценка CVSS: 10,0) уязвимость максимальной серьезности может способствовать захвату учетной записи путем отправки электронных писем для сброса пароля на непроверенный адрес электронной почты.
GitLab, которая раскрыла подробности недостатка ранее в январе этого года, заявила, что он был введен как часть изменения кода в версии 16.1.0 1 мая 2023 года.
"В этих версиях затронуты все механизмы аутентификации", - отметили в то время в компании. "Кроме того, пользователи, у которых включена двухфакторная аутентификация, уязвимы для сброса пароля, но не для захвата учетной записи, поскольку для входа в систему требуется второй фактор аутентификации".
Успешное использование проблемы может иметь серьезные последствия, поскольку она не только позволяет злоумышленнику получить контроль над учетной записью пользователя GitLab, но и украсть конфиденциальную информацию, учетные данные и даже отравить хранилища исходного кода вредоносным кодом, что приводит к атакам по цепочке поставок.
"Например, злоумышленник, получивший доступ к конфигурации конвейера CI / CD, может внедрить вредоносный код, предназначенный для извлечения конфиденциальных данных, таких как личная информация (PII) или токены аутентификации, перенаправляя их на сервер, контролируемый злоумышленником", - сказала в недавнем отчете компания по облачной безопасности Mitiga.
"Аналогичным образом, вмешательство в код репозитория может включать внедрение вредоносного ПО, которое ставит под угрозу целостность системы или создает бэкдоры для несанкционированного доступа. Вредоносный код или злоупотребление конвейером могут привести к краже данных, нарушению работы кода, несанкционированному доступу и атакам на цепочку поставок."
Ошибка была устранена в версиях GitLab 16.5.6, 16.6.4 и 16.7.2, при этом исправления также были перенесены в версии 16.1.6, 16.2.9, 16.3.7 и 16.4.5.
CISA пока не предоставила никаких других подробностей относительно того, как уязвимость используется в реальных атаках. В свете активных злоупотреблений федеральные агентства обязаны применить последние исправления к 22 мая 2024 года для защиты своих сетей.
Отслеживаемая как CVE-2023-7028 (оценка CVSS: 10,0) уязвимость максимальной серьезности может способствовать захвату учетной записи путем отправки электронных писем для сброса пароля на непроверенный адрес электронной почты.
GitLab, которая раскрыла подробности недостатка ранее в январе этого года, заявила, что он был введен как часть изменения кода в версии 16.1.0 1 мая 2023 года.
"В этих версиях затронуты все механизмы аутентификации", - отметили в то время в компании. "Кроме того, пользователи, у которых включена двухфакторная аутентификация, уязвимы для сброса пароля, но не для захвата учетной записи, поскольку для входа в систему требуется второй фактор аутентификации".
Успешное использование проблемы может иметь серьезные последствия, поскольку она не только позволяет злоумышленнику получить контроль над учетной записью пользователя GitLab, но и украсть конфиденциальную информацию, учетные данные и даже отравить хранилища исходного кода вредоносным кодом, что приводит к атакам по цепочке поставок.
"Например, злоумышленник, получивший доступ к конфигурации конвейера CI / CD, может внедрить вредоносный код, предназначенный для извлечения конфиденциальных данных, таких как личная информация (PII) или токены аутентификации, перенаправляя их на сервер, контролируемый злоумышленником", - сказала в недавнем отчете компания по облачной безопасности Mitiga.
"Аналогичным образом, вмешательство в код репозитория может включать внедрение вредоносного ПО, которое ставит под угрозу целостность системы или создает бэкдоры для несанкционированного доступа. Вредоносный код или злоупотребление конвейером могут привести к краже данных, нарушению работы кода, несанкционированному доступу и атакам на цепочку поставок."
Ошибка была устранена в версиях GitLab 16.5.6, 16.6.4 и 16.7.2, при этом исправления также были перенесены в версии 16.1.6, 16.2.9, 16.3.7 и 16.4.5.
CISA пока не предоставила никаких других подробностей относительно того, как уязвимость используется в реальных атаках. В свете активных злоупотреблений федеральные агентства обязаны применить последние исправления к 22 мая 2024 года для защиты своих сетей.
