ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), vahşi ortamda aktif istismar nedeniyle GitLab’ı etkileyen kritik bir kusuru Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
Şu şekilde izlendi: CVE-2023-7028 (CVSS puanı: 10.0), maksimum önem derecesine sahip güvenlik açığı, doğrulanmamış bir e-posta adresine şifre sıfırlama e-postaları göndererek hesabın ele geçirilmesini kolaylaştırabilir.
Eksikliğin ayrıntılarını bu Ocak ayının başlarında açıklayan GitLab, bunun 1 Mayıs 2023’te 16.1.0 sürümündeki kod değişikliğinin parçası olarak tanıtıldığını söyledi.
Şirket o dönemde “Bu sürümlerde tüm kimlik doğrulama mekanizmalarının etkilendiğini” belirtti. “Ek olarak, iki faktörlü kimlik doğrulamayı etkinleştiren kullanıcılar, parola sıfırlamaya karşı savunmasızdır ancak oturum açmak için ikinci kimlik doğrulama faktörü gerekli olduğundan hesap devralma söz konusu değildir.”
Sorunun başarılı bir şekilde istismar edilmesi, yalnızca bir saldırganın GitLab kullanıcı hesabının kontrolünü ele geçirmesine olanak sağlamakla kalmayıp, aynı zamanda hassas bilgileri, kimlik bilgilerini çalmasını ve hatta kaynak kodu depolarını kötü amaçlı kodla zehirleyerek tedarik zinciri saldırılarına yol açmasını sağladığından ciddi sonuçlara yol açabilir.
Bulut güvenlik firması, “Örneğin, CI/CD boru hattı yapılandırmasına erişim sağlayan bir saldırgan, Kişisel Olarak Tanımlanabilir Bilgiler (PII) veya kimlik doğrulama belirteçleri gibi hassas verileri sızdırmak için tasarlanmış kötü amaçlı kod yerleştirebilir ve bunları düşman tarafından kontrol edilen bir sunucuya yönlendirebilir.” Mitiga yakın tarihli bir raporda şunları söyledi.
“Benzer şekilde, depo kodunda değişiklik yapmak, sistem bütünlüğünü tehlikeye atan veya yetkisiz erişim için arka kapılar açan kötü amaçlı yazılımların eklenmesini içerebilir. Kötü amaçlı kod veya boru hattının kötüye kullanılması, veri hırsızlığına, kodun bozulmasına, yetkisiz erişime ve tedarik zinciri saldırılarına yol açabilir.”
Kusur, GitLab 16.5.6, 16.6.4 ve 16.7.2 sürümlerinde giderildi; yamalar ayrıca 16.1.6, 16.2.9, 16.3.7 ve 16.4.5 sürümlerine de desteklendi.
CISA, bu güvenlik açığının gerçek dünyadaki saldırılarda nasıl kullanıldığına ilişkin henüz herhangi bir ayrıntı vermedi. Aktif kullanıcılar göz önüne alındığında, federal kurumların ağlarının güvenliğini sağlamak için 22 Mayıs 2024’e kadar en son düzeltmeleri uygulamaları gerekiyor.