GitLab, bir saldırganın işlem hatlarını başka bir kullanıcı olarak çalıştırmasına olanak tanıyan kritik bir kusuru çözmek için güvenlik yamaları gönderdi.
Sorun şu şekilde izlendi: CVE-2023-5009 (CVSS puanı: 9.6), 13.12’den başlayarak 16.2.7 öncesi ve 16.3 ile 16.3.4 öncesi GitLab Enterprise Edition’ın (EE) tüm sürümlerini etkiler.
GitLab bir danışma belgesinde, “Bir saldırganın planlanmış güvenlik tarama politikaları aracılığıyla ardışık düzenleri keyfi bir kullanıcı olarak çalıştırması mümkündü” dedi. “Bu, CVE-2023-3932’nin ek etki gösteren bir atlamasıydı.”
CVE-2023-5009’un başarılı bir şekilde kullanılması, bir tehdit aktörünün hassas bilgilere erişmesine veya kimliğine bürünen kullanıcının yükseltilmiş izinlerinden yararlanarak kaynak kodunu değiştirmesine veya sistemde rastgele kod çalıştırmasına olanak tanıyarak ciddi sonuçlara yol açabilir.
Güvenlik araştırmacısı Johan Carlsson (namı diğer joaxcar), kusuru keşfedip rapor etme konusunda itibar kazandı. CVE-2023-3932, Ağustos 2023’ün başlarında GitLab tarafından ele alındı.
Güvenlik açığı GitLab’ın 16.3.4 ve 16.2.7 sürümlerinde giderildi.
SaaS Güvenliğini Yükseltme: ITDR ve SSPM için Kapsamlı Bir Kılavuz
ITDR’nin tehditleri nasıl tanımlayıp azalttığına ilişkin eyleme geçirilebilir bilgilerle bir adım önde olun. Kimliğinizin ihlal edilemez kalmasını sağlamada SSPM’nin vazgeçilmez rolü hakkında bilgi edinin.
Becerilerinizi Güçlendirin
Açıklama, iki yıllık kritik bir GitLab hatasının (CVE-2021-22205, CVSS puanı: 10,0) gerçek dünyadaki saldırılarda tehdit aktörleri tarafından aktif olarak kullanılmaya devam edilmesiyle birlikte geldi.
Bu haftanın başlarında Trend Micro, Earth Lusca olarak bilinen Çin bağlantılı bir saldırganın, kurban ağlarına sızmak için CVE-2021-22205 de dahil olmak üzere N günlük güvenlik kusurlarını silah haline getirerek agresif bir şekilde halka açık sunucuları hedef aldığını ortaya çıkardı.
Potansiyel risklere karşı korunmak için kullanıcıların GitLab kurulumlarını mümkün olan en kısa sürede en son sürüme güncellemeleri önemle tavsiye edilir.