A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) adicionou uma falha crítica que afeta o GitLab ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), devido à exploração ativa "no wild".
Identificada como
CVE-2023-7028
(pontuação CVSS: 10.0), a vulnerabilidade de severidade máxima poderia facilitar a tomada de conta ao enviar e-mails de redefinição de senha para um endereço de e-mail não verificado.
O GitLab, que divulgou detalhes da deficiência no início deste janeiro, disse que foi introduzida como parte de uma mudança de código na versão 16.1.0 em 1º de maio de 2023.
"Dentro dessas versões, todos os mecanismos de autenticação são impactados", observou a empresa na época.
Além disso, usuários que habilitaram a autenticação de dois fatores estão vulneráveis à redefinição de senha, mas não à tomada de conta, já que seu segundo fator de autenticação é necessário para login.
A exploração bem-sucedida do problema pode ter consequências graves, pois não apenas permite que um adversário assuma o controle de uma conta de usuário do GitLab, mas também roube informações sensíveis, credenciais e até envenene repositórios de código-fonte com código malicioso, levando a ataques à cadeia de suprimentos.
"Por exemplo, um atacante que ganha acesso à configuração do pipeline de CI/CD pode incorporar código malicioso projetado para exfiltrar dados sensíveis, como Informações Pessoalmente Identificáveis (PII) ou tokens de autenticação, redirecionando-os para um servidor controlado pelo adversário", disse a empresa de segurança na nuvem Mitiga em um relatório recente.
Da mesma forma, adulterar o código do repositório pode envolver a inserção de malware que compromete a integridade do sistema ou introduz backdoors para acesso não autorizado.
Código malicioso ou abuso do pipeline pode levar a roubo de dados, interrupção de código, acesso não autorizado e ataques à cadeia de suprimentos.
A falha foi corrigida nas versões 16.5.6, 16.6.4 e 16.7.2 do GitLab, com os patches também retroportados para as versões 16.1.6, 16.2.9, 16.3.7 e 16.4.5.
A CISA ainda não forneceu outros detalhes sobre como a vulnerabilidade está sendo explorada em ataques do mundo real.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...