A GitLab lançou atualizações de segurança para ambas as edições, Comunitária e Empresarial, para resolver duas vulnerabilidades críticas, uma delas permitindo a tomada de controle de conta sem qualquer interação do usuário.
O fornecedor recomenda fortemente a atualização o mais rápido possível de todas as versões vulneráveis da plataforma DevSecOps (atualização manual necessária para instalações auto-hospedadas) e alerta que se não houver "nenhum tipo específico de implantação (ônibus, código-fonte, gráfico de helm, etc.) de um produto mencionado, isso significa que todos os tipos são afetados”.
O problema de segurança mais crítico corrigido pela GitLab tem a pontuação máxima de gravidade (10 de 10) e está sendo rastreado como
CVE-2023-7028
.
Uma exploração bem-sucedida não requer nenhuma interação.
Trata-se de um problema de autenticação que permite o envio de solicitações de redefinição de senha para endereços de e-mail arbitrários e não verificados, permitindo a tomada de controle da conta.
Se a autenticação de dois fatores (2FA) estiver ativa, é possível redefinir a senha, mas o segundo fator de autenticação ainda é necessário para o login bem-sucedido.
Invadir uma conta GitLab pode ter um impacto significativo em uma organização, uma vez que a plataforma é normalmente usada para hospedar códigos proprietários, chaves de API e outros dados sensíveis.
Outro risco é o de ataques à cadeia de suprimentos, onde os invasores podem comprometer os repositórios, inserindo código malicioso em ambientes ao vivo quando o GitLab é usado para CI/CD (Integração Contínua/Implantação Contínua).
O problema foi descoberto e reportado à GitLab pelo pesquisador de segurança ‘Asterion’ através da plataforma de recompensas de bugs HackerOne e foi introduzido em 1 de maio de 2023, com a versão 16.1.0.
As seguintes versões são impactadas:
16.1 anterior a 16.1.5
16.2 anterior a 16.2.8
16.3 anterior a 16.3.6
16.4 anterior a 16.4.4
16.5 anterior a 16.5.6
16.6 anterior a 16.6.4
16.7 anterior a 16.7.2
A falha foi tratada nas versões 16.7.2, 16.5.6 e 16.6.4 do GitLab, e a correção também foi transportada para as versões 16.1.6, 16.2.9 e 16.3.7.
A GitLab diz que não detectou nenhum caso de exploração ativa do
CVE-2023-7028
, mas compartilhou os seguintes sinais de comprometimento para os defensores:
Verifique gitlab-rails/production_json.log para solicitações HTTP para o caminho /users/password com params.value.email consistindo em uma matriz JSON com vários endereços de email.
Verifique gitlab-rails/audit_json.log para entradas com meta.caller.id do PasswordsController#create e target_details consistindo em uma matriz JSON com vários endereços de e-mail.
O segundo problema crítico é identificado como
CVE-2023-5356
e tem uma pontuação de gravidade de 9.6 em 10.
Um invasor poderia explorá-lo para abusar das integrações Slack/Mattermost para executar comandos de slash como outro usuário.
No Mattermost, comandos de slash permitem a integração de aplicativos externos no espaço de trabalho, e no Slack eles atuam como atalhos para a invocação de aplicativos na caixa do compositor da mensagem.
O restante das falhas que a GitLab corrigiu na versão 16.7.2 são:
-
CVE-2023-4812
: Vulnerabilidade de alta gravidade no GitLab 15.3 e posterior, permitindo a evasão da aprovação dos CODEOWNERS ao fazer alterações em um pedido de fusão previamente aprovado;
-
CVE-2023-6955
: Controle de acesso impróprio para Workspaces existentes no GitLab antes de 16.7.2, permitindo que invasores criem um espaço de trabalho em um grupo associado a um agente de outro grupo;
-
CVE-2023-2030
: Falha de validação de assinatura de commit afetando as versões GitLab CE/EE 12.2 e posteriores, envolvendo a possibilidade de modificar os metadados de commits assinados devido à validação inadequada de assinatura.
Para instruções e recursos de atualização oficiais, confira a página de atualização do GitLab.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...