GitLab, bugün ürününün GitLab Community ve Enterprise sürümlerinde bulunan kritik bir güvenlik açığının, saldırganların herhangi bir kullanıcı gibi işlem hattı işlerini yürütmesine olanak tanıdığı konusunda uyardı.
GitLab DevSecOps platformunun 30 milyondan fazla kayıtlı kullanıcısı var ve T-Mobile, Goldman Sachs, Airbus, Lockheed Martin, Nvidia ve UBS gibi Fortune 100 şirketlerinin %50’sinden fazlası tarafından kullanılıyor.
Bugünkü güvenlik güncellemesinde düzeltilen açık CVE-2024-6385 olarak belirlendi ve CVSS taban puanında 10 üzerinden 9,6 önem derecesi aldı.
GitLab CE/EE’nin 15.8’den 16.11.6’ya, 17.0’dan 17.0.4’e ve 17.1’den 17.1.2’ye kadar olan tüm sürümlerini etkiliyor. GitLab’ın henüz açıklamadığı belirli koşullar altında, saldırganlar bunu keyfi bir kullanıcı olarak yeni bir işlem hattını tetiklemek için kullanabilir.
GitLab boru hatları, kullanıcıların kod değişikliklerini oluşturmak, test etmek veya dağıtmak için süreçleri ve görevleri paralel veya ardışık olarak otomatik olarak çalıştırmalarına olanak tanıyan bir Sürekli Entegrasyon/Sürekli Dağıtım (CI/CD) sistem özelliğidir.
Şirket, bu kritik güvenlik açığını gidermek için GitLab Community ve Enterprise sürümleri 17.1.2, 17.0.4 ve 16.11.6’yı yayınladı ve tüm yöneticilere tüm kurulumları derhal yükseltmelerini tavsiye etti.
“Aşağıda açıklanan sorunlardan etkilenen bir sürümü çalıştıran tüm kurulumların mümkün olan en kısa sürede en son sürüme yükseltilmesini şiddetle öneriyoruz,” uyarısında bulundu. “GitLab.com ve GitLab Dedicated zaten yamalı sürümü çalıştırıyor.”
Hesap ele geçirme kusuru saldırılarda aktif olarak istismar ediliyor
GitLab, Haziran ayı sonlarında CVE-2024-5655 olarak izlenen ve diğer kullanıcılar gibi işlem hatları çalıştırmak için de kullanılabilen neredeyse aynı bir güvenlik açığını düzeltti.
Bir ay önce, kimliği doğrulanmamış tehdit aktörlerinin çapraz site betik çalıştırma (XSS) saldırılarında hesapları ele geçirmesine olanak tanıyan yüksek öneme sahip bir güvenlik açığını (CVE-2024-4835) gidermişti.
CISA’nın Mayıs ayında uyardığı gibi, tehdit aktörleri Ocak ayında yamalanan başka bir sıfır tıklamalı GitLab güvenlik açığını (CVE-2023-7028) da aktif olarak kullanıyor. Bu güvenlik açığı, kimliği doğrulanmamış saldırganların parola sıfırlamaları yoluyla hesapları ele geçirmesine olanak tanır.
Shadowserver, Ocak ayında çevrimiçi olarak 5.300’den fazla savunmasız GitLab örneği tespit etti ancak bunların yarısından azına (1.795’ine) bugün hâlâ ulaşılabiliyor.
Saldırganlar GitLab’ı hedef alıyor çünkü API anahtarları ve tescilli kodlar da dahil olmak üzere çeşitli hassas kurumsal verileri barındırıyor ve bu da bir ihlalin ardından önemli bir güvenlik etkisine yol açıyor.
Bu, tehdit aktörlerinin CI/CD (Sürekli Entegrasyon/Sürekli Dağıtım) ortamlarına kötü amaçlı kod eklemesi ve ihlal edilen kuruluşun depolarını tehlikeye atması durumunda tedarik zinciri saldırılarını da içerir.