Περισσότερες από 5.300 περιπτώσεις GitLab που εκτίθενται στο διαδίκτυο είναι ευάλωτες στο CVE-2023-7028, ένα σφάλμα ανάληψης λογαριασμού χωρίς αλληλεπίδραση, για το οποίο η GitLab προειδοποίησε νωρίτερα αυτό το μήνα.
Δείτε επίσης: GitLab: Ενημερώστε άμεσα για να διορθώσετε σοβαρό ελάττωμα
Η κρίσιμη αδυναμία (βαθμολογία CVSS: 10.0) επιτρέπει σε επιτιθέμενους να αποστείλουν μηνύματα επαναφοράς κωδικού πρόσβασης για έναν στοχευμένο λογαριασμό σε μια διεύθυνση email που ελέγχεται από τον επιτιθέμενο, επιτρέποντας στον δράστη να αλλάξει τον κωδικό πρόσβασης και να αποκτήσει πρόσβαση στον λογαριασμό.
Παρόλο που το ελλάτωμα δεν παρακάμπτει την διπλή επαλήθευση (2FA), αποτελεί σημαντικό κίνδυνο για οποιονδήποτε λογαριασμό που δεν προστατεύεται από αυτόν τον επιπλέον μηχανισμό ασφαλείας.
Το πρόβλημα επηρεάζει τις εκδόσεις GitLab Community και Enterprise Edition από την 16.1 έως την 16.1.5, την 16.2 έως την 16.2.8, την 16.3 έως την 16.3.6, την 16.4 έως την 16.4.4, την 16.5 έως την 16.5.6, την 16.6 έως την 16.6.4 και την 16.7 έως την 16.7.2.
Στις 11 Ιανουαρίου 2024, η GitLab κυκλοφόρησε διορθώσεις στις εκδόσεις 16.7.2, 16.5.6 και 16.6.4, και διορθώσεις στις εκδόσεις 16.1.6, 16.2.9 και 16.3.7.
Σήμερα, 13 ημέρες μετά τη διάθεση των ενημερώσεων ασφαλείας, η υπηρεσία παρακολούθησης απειλών ShadowServer αναφέρει ότι έχει εντοπίσει 5.379 ευάλωτες περιπτώσεις GitLab που εκτίθενται στο διαδίκτυο.
Λόγω του ρόλου του GitLab ως πλατφόρμα ανάπτυξης λογισμικού και σχεδιασμού έργων και λαμβάνοντας υπόψη τον τύπο και τη σοβαρότητα της αδυναμίας, αυτοί οι διακομιστές βρίσκονται σε κίνδυνο από επιθέσεις προμήθειας, αποκάλυψη προπροσωπευτικού κώδικα, διαρροή κλειδιών API και άλλες κακόβουλες δραστηριότητες.
Δείτε ακόμα: GitLab: Εγκαταστήστε τα security updates γιατί εντοπίστηκε κρίσιμη ευπάθεια
Σύμφωνα με την αναφορά της Shadowserver, οι περισσότεροι ευάλωτοι διακομιστές βρίσκονται στις Ηνωμένες Πολιτείες (964), ακολουθούμενοι από τη Γερμανία (730), τη Ρωσία (721), την Κίνα (503), τη Γαλλία (298), το Ηνωμένο Βασίλειο (122), την Ινδία (117) και τον Καναδά (99).
Όσοι δεν έχουν εφαρμόσει ακόμη τις ενημερώσεις μπορεί να έχουν ήδη παραβιαστεί, επομένως η χρήση του εγχειριδίου ανταπόκρισης σε περιστατικά GitLab και ο έλεγχος για ενδείξεις παραβίασης είναι κρίσιμης σημασίας.
Προηγουμένως, το GitLab μοιράστηκε τις εξής συμβουλές ανίχνευσης για τους ερευνητές.
Οι διαχειριστές που εντοπίζουν περιπτώσεις που έχουν παραβιαστεί θα πρέπει να αλλάξουν όλα τα διαπιστευτήρια, τα διακριτικά API, τα πιστοποιητικά και οποιαδήποτε άλλα μυστικά, ενεργοποιώντας ταυτόχρονα το 2FA σε όλους τους λογαριασμούς και εφαρμόζοντας την ενημέρωση ασφαλείας.
Μετά την ασφάλεια των διακομιστών, οι διαχειριστές θα πρέπει να ελέγχουν για τροποποιήσεις στο περιβάλλον των προγραμματιστών τους, συμπεριλαμβανομένου του πηγαίου κώδικα και ενδεχομένως παρεμβαλμένων αρχείων.
Μέχρι σήμερα, δεν έχει καταγραφεί καμία επιβεβαιωμένη περίπτωση ενεργοποίησης της CVE-2023-7028, αλλά αυτό δεν πρέπει να ερμηνεύεται ως λόγος για να αναβληθεί η λήψη μέτρων.
Δείτε επίσης: Η GitLab θα μειώσει το προσωπικό της κατά 7%
Το GitLab είναι ένα ολοκληρωμένο σύστημα διαχείρισης εκδόσεων κώδικα και συνεργασίας. Παρέχει εργαλεία για τη διαχείριση, την παρακολούθηση και την ανάπτυξη του κώδικα σε μία ενιαία πλατφόρμα. Μέσω της λειτουργίας του Git, το GitLab επιτρέπει στους προγραμματιστές να δημιουργούν κλώνους των αποθετηρίων κώδικα, να κάνουν αλλαγές στον κώδικα και να υποβάλλουν αυτές τις αλλαγές για έλεγχο, πριν τις ενσωματώσουν στο κύριο αποθετήριο.
Το GitLab παρέχει επίσης εργαλεία για την αυτοματοποίηση της διαδικασίας ανάπτυξης και δοκιμής του κώδικα, μέσω της λειτουργίας των GitLab CI/CD (Continuous Integration/Continuous Deployment). Αυτό επιτρέπει στις ομάδες να δημιουργούν και να δοκιμάζουν τον κώδικα αυτόματα, εξασφαλίζοντας την ποιότητα και τη σταθερότητα του προϊόντος. Επιπλέον, το GitLab παρέχει εργαλεία για την παρακολούθηση της απόδοσης του κώδικα και της υποδομής, καθώς και για την ανίχνευση και την αντιμετώπιση προβλημάτων ασφαλείας.
Τέλος, το GitLab διευκολύνει την επικοινωνία και τη συνεργασία μεταξύ των μελών της ομάδας, μέσω των λειτουργιών του για τη διαχείριση εργασιών, την καταγραφή σχολίων και την κοινοποίηση αλλαγών.
Πηγή: bleepingcomputer
