GitLab, GitLab Community Edition (CE) ve Enterprise Edition (EE)’deki kritik bir güvenlik açığı hakkında bir uyarı yayınladı. GitLab, geliştiricilerin yazılım oluşturma konusunda işbirliği yapmasına olanak tanıyan çevrimiçi bir DevOps platformudur. Kuruluşların GitLab’ı kendi sunucularına veya GitLab.com’da GitLab’ın kontrolü altında kurma seçenekleri vardır.
Bu güvenlik açığı, başarılı bir saldırganın herhangi bir etkileşime gerek kalmadan kullanıcıların hesaplarını kolayca ele geçirmesine olanak tanıyor. Sorunu çözmek için, kendi kendine yönetilen örneklerin kullanıcılarının, belirtilen yükseltme yolunu izleyerek yamalı bir sürüme yükseltme yapması gerekir. Kararsızlık yaratabileceği için yükseltme duraklarını atlamayın. GitLab.com zaten yamalı sürümü çalıştırıyor.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Veritabanındaki açıklamadan da görebileceğimiz gibi sorunun kökü, şifre sıfırlama e-postalarının doğrulanmamış e-posta adreslerine yönlendirilebilmesidir.
CVE-2023-7028 (CVSS puanı 10 üzerinden 10): GitLab CE/EE’de 16.1’den önceki 16.1, 16.2.9’dan önceki 16.2, 16.3.7’den önceki 16.3 ve 16.4 sürümlerini etkileyen bir sorun keşfedildi 16.4.5’ten önce, 16.5.6’dan önce 16.5, 16.6.4’ten önce 16.6 ve 16.7.2’den önce 16.7; burada kullanıcı hesabı şifre sıfırlama e-postaları doğrulanmamış bir e-posta adresine teslim edilebilir.
Saldırganın güvenli olmayan kod sunabilmesi veya bir kuruluşun API anahtarlarına erişebilmesi nedeniyle GitLab hesabının ele geçirilmesi ciddi sonuçlar doğurabilir.
Hedefte 2FA etkinse hesap devralma işlemi işe yaramaz çünkü saldırgan ikinci kimlik doğrulama faktörünün kontrolüne sahip değilse oturum açamaz.
GitLab, kimlik doğrulamanın ikinci faktörü olarak şunları destekler:
- Zamana dayalı tek kullanımlık şifreler (TOTP). Etkinleştirildiğinde GitLab, oturum açtığınızda sizden bir kod ister. Kodlar, tek kullanımlık şifre doğrulayıcınız (örneğin, cihazlarınızdan birindeki şifre yöneticisi) tarafından oluşturulur.
- WebAuthn cihazları. Oturum açmak için kullanıcı adınızı ve parolanızı girdiğinizde WebAuthn cihazınızı etkinleştirmeniz istenir (genellikle üzerindeki bir düğmeye basarak). Bu, sizin adınıza güvenli kimlik doğrulama gerçekleştirir.
Diğer bir kritik güvenlik açığı CVE-2023-5356 (CVSS puanı 10 üzerinden 9,6) olarak listelenmiştir: GitLab CE/EE’de 8.13’ten 16.5.6’ya kadar olan tüm sürümlerde, 16.6’dan 16.6.4’ten önce başlayan tüm sürümlerde hatalı yetkilendirme kontrolleri, tümü 16.7’den 16.7.2’ye kadar olan sürümler, kullanıcının Slack/Mattermost entegrasyonlarını kötüye kullanarak eğik çizgi komutlarını başka bir kullanıcı olarak yürütmesine olanak tanır.
GitLab için 2FA’nın nasıl etkinleştirileceğine ilişkin talimatlar GitLab belgelerinde bulunabilir. Hemen yükseltme yapsanız bile 2FA’yı etkinleştirmeniz önerilir.
GitLab, GitLab.com ve GitLab Dedicated örnekleri de dahil olmak üzere GitLab tarafından yönetilen platformlarda bu güvenlik açığının kötüye kullanıldığını tespit etmediğini belirtiyor.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. ThreatDown Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.