GitLab’daki kritik bir güvenlik açığı, saldırganın başka bir kullanıcı olarak bir işlem hattını çalıştırmasına olanak tanıyabilir.
GitLab popüler bir Git deposudur. GitHub’tan sonra ikincimilyonlarca aktif kullanıcıya sahip. Bu hafta, Topluluğunun (açık kaynak) ve Enterprise Sürümlerinin yeni sürümleri.
Güncellemeler, siteler arası istek sahteciliği (CSRF), siteler arası komut dosyası oluşturma (XSS), hizmet reddi (DoS) ve daha fazlası dahil olmak üzere 14 farklı güvenlik sorununa yönelik düzeltmeleri içerir. Sorunlardan biri, Ortak Güvenlik Açığı Puanlama Sistemi’ne (CVSS) göre düşük önem derecesine sahip, dokuzu orta şiddette ve üçü de yüksek önemde; ancak aynı zamanda CVSS puanı 10 üzerinden 9,6 olan bir kritik hata da var.
CVE-2024-5655 Kod Geliştirmeye Kritik Tehdit Sunuyor
Şirkete göre bu kritik CVE-2024-5655, 15.8’den önceki 16.11.5’ten, 17.0’dan önceki 17.0.3’ten ve 17.1’den önceki 17.1.1’den başlayan GitLab sürümlerini etkiliyor. Bir saldırganın başka bir kullanıcı olarak bir boru hattını tetiklemesine olanak tanır, ancak bunu yalnızca GitLab’ın ayrıntılı olarak açıklamadığı (veya güvenlik açığı hakkında başka herhangi bir bilgi sağlamadığı) koşullar altında yapar.
İşlem hattı GitLab’da kod oluşturma, test etme ve dağıtma sürecini otomatikleştirir. Teorik olarak, diğer kullanıcılar gibi işlem hatlarını çalıştırma yeteneğine sahip bir saldırgan, kendi özel depolarına erişebilir ve burada bulunan hassas kod ve verileri manipüle edebilir, çalabilir veya sızdırabilir.
ile farklı olarak CVE-2023-7028 — bu baharın başlarında istismar edildiği bilinen 10 hesap devralma hatasından 10’u — GitLab şu ana kadar CVE-2024-5655’in açıklardan yararlanıldığına dair hiçbir kanıt bulamadı. Ancak bu hızla değişebilir.
Sadece Güvenlik Değil, Bir Uyumluluk Sorunu
CVE-2024-5655 gibi geliştirme sürecinin derinliklerine dayanan sorunlar, bazen kağıt üzerinde oluşturdukları basit risklerin ötesinde baş ağrılarına neden olabiliyor.
Synopsys Software Integrity Group’un baş danışman yardımcısı Jamie Boote, “En kötü senaryoda, bu güvenlik açığının şirketlere para kaybı veya gelir kaybı yaşatmak için kullanılmasına bile gerek yok” diyor. Bir yazılımın veya yazılım odaklı ürünün GitLab’ın savunmasız bir sürümü kullanılarak oluşturulmuş olması bile endişe kaynağı olabilir.
“Bunun gibi boru hattı güvenlik açıkları yalnızca güvenlik riski oluşturmakla kalmaz ancak aynı zamanda düzenleme ve uyumluluk riski de vardır. ABD’li şirketler, ABD Hükümeti’ne yazılım ve ürün satmak için karşılamaları gereken Kişisel Beyan Formu gerekliliklerine uyum sağlamaya çalışırken, bu güvenlik açığının ele alınmaması, satışları ve sözleşmeleri riske atabilecek bir uyumluluk boşluğuna yol açabilir.” Özellikle, ABD Ticaret Bakanlığı’nın Güvenli Yazılım Geliştirme Onay Formu Talimatlarının III. Bölümündeki satır maddesi 1c’ye işaret ediyor; bu madde “Yazılım geliştirme ve oluşturmayla ilgili ortamlar arasında çok faktörlü kimlik doğrulamanın ve koşullu erişimin zorunlu kılınması”nı gerektirir. Bu da güvenlik riskini en aza indiriyor.”
“Bu güvenlik açığını ele almayan şirketler için 1c maddesine uyum tehlike altındadır; çünkü bu güvenlik açığı, saldırganların şirketlerin uyum için güvendiği koşullu erişim kontrollerini atlatmasına olanak tanır,” diye sonlandırıyor.