5.300’den fazla internete açık GitLab örneği, GitLab’ın bu ayın başlarında uyardığı sıfır tıklamayla hesap ele geçirme kusuru olan CVE-2023-7028’e karşı savunmasız.
Kritik (CVSS puanı: 10,0) kusur, saldırganların hedeflenen bir hesap için saldırgan tarafından kontrol edilen bir e-posta adresine parola sıfırlama e-postaları göndermesine olanak tanıyarak tehdit aktörünün parolayı değiştirmesine ve hesabı ele geçirmesine olanak tanır.
Her ne kadar kusur, iki faktörlü kimlik doğrulamayı (2FA) atlamasa da, bu ekstra güvenlik mekanizması tarafından korunmayan hesaplar için önemli bir risk oluşturuyor.
Sorun, GitLab Community ve Enterprise Edition sürüm 16.1’den önceki 16.1.5, 16.2’den önceki sürümler, 16.2.8’den önceki 16.3, 16.3.6’dan önceki 16.3, 16.4.4’ten önceki 16.4, 16.5.6’dan önceki 16.5, 16.6.4’ten önceki 16.6 ve 16.7’den önceki 16.7 sürümlerini etkilemektedir. 2.
GitLab, 11 Ocak 2024’te 16.7.2, 16.5.6 ve 16.6.4’te düzeltmeler yayınladı ve ayrıca 16.1.6, 16.2.9 ve 16.3.7’ye yönelik yamaları da destekledi.
Bugün, güvenlik güncellemelerinin kullanıma sunulmasından 13 gün sonra, tehdit izleme hizmeti ShadowServer, 5.379 savunmasız GitLab örneğinin çevrimiçi ortamda açığa çıktığını bildirdi.
GitLab’ın bir yazılım geliştirme ve proje planlama platformu olarak rolüne ve kusurun türüne ve ciddiyetine bağlı olarak, bu sunucular tedarik zinciri saldırıları, özel kodun ifşa edilmesi, API anahtarı sızıntıları ve diğer kötü amaçlı faaliyetler riski altındadır.
Gölge sunucusu raporlar Savunmasız sunucuların çoğunun ABD (964) olduğunu, bunu Almanya (730), Rusya (721), Çin (503), Fransa (298), Birleşik Krallık (122), Hindistan (117) ve Kanada’nın takip ettiği belirtiliyor. (99).
Henüz yama yapmamış olanların güvenliği zaten ihlal edilmiş olabilir; bu nedenle GitLab’ın olay müdahale kılavuzunu kullanmak ve güvenlik ihlali işaretlerini kontrol etmek kritik öneme sahiptir.
GitLab daha önce savunmacılar için aşağıdaki tespit ipuçlarını paylaşmıştı:
Check gitlab-rails/production_json.log for HTTP requests to the /users/password path with params.value.email consisting of a JSON array with multiple email addresses.Check gitlab-rails/audit_json.log for entries with meta.caller.id of PasswordsController#create and target_details consisting of a JSON array with multiple email addresses.
Güvenliği ihlal edilmiş örnekleri bulan yöneticiler, tüm hesaplarda 2FA’yı etkinleştirmenin ve güvenlik güncellemesini uygulamanın yanı sıra tüm kimlik bilgilerini, API belirteçlerini, sertifikaları ve diğer gizli bilgileri dönüşümlü olarak kullanmalıdır.
Sunucuların güvenliğini sağladıktan sonra yöneticiler, kaynak kodu ve olası tahrif edilmiş dosyalar da dahil olmak üzere geliştirici ortamlarındaki değişiklikleri kontrol etmelidir.
Bugün itibariyle, CVE-2023-7028’in aktif olarak kullanıldığı doğrulanmış bir vaka bulunmamaktadır ancak bu, harekete geçmeyi ertelemek için bir neden olarak yorumlanmamalıdır.