GitLab, kimliği doğrulanmamış saldırganların siteler arası komut dosyası çalıştırma (XSS) saldırılarında kullanıcı hesaplarını ele geçirmek için kullanabileceği yüksek önem derecesine sahip bir güvenlik açığını kapattı.
Güvenlik açığı (CVE-2024-4835 olarak izlenir), VS kod düzenleyicisindeki (Web IDE) bir XSS zayıflığıdır ve tehdit aktörlerinin kötü amaçla hazırlanmış sayfaları kullanarak kısıtlı bilgileri çalmasına olanak tanır.
Kimlik doğrulama gerektirmeyen saldırılarda bu güvenlik açığından yararlanılabilse de kullanıcı etkileşimine hâlâ ihtiyaç duyulmaktadır ve bu da saldırıların karmaşıklığını artırmaktadır.
GitLab, “Bugün GitLab Community Edition (CE) ve Enterprise Edition (EE) için 17.0.1, 16.11.3 ve 16.10.6 sürümlerini yayınlıyoruz” dedi.
“Bu sürümler önemli hata ve güvenlik düzeltmeleri içeriyor ve tüm GitLab kurulumlarının derhal bu sürümlerden birine yükseltilmesini önemle tavsiye ediyoruz.”
Çarşamba günü şirket ayrıca, Kubernetes Agent Sunucusu (CVE-2023-7045) aracılığıyla Siteler Arası İstek Sahteciliği (CSRF) ve saldırganların siteyi kesintiye uğratmasına olanak tanıyan bir hizmet reddi hatası da dahil olmak üzere orta düzeydeki altı güvenlik açığını daha düzeltti. GitLab web kaynaklarının yüklenmesi (CVE-2024-2874).
| Güvenlik Açığı | Şiddet |
|---|---|
| VS kod düzenleyicisinden (Web IDE) yararlanarak XSS aracılığıyla tek tıklamayla hesap devralma | Yüksek |
| Koşucunun ‘açıklama’ alanında bir DOS güvenlik açığı | Orta |
| K8s küme entegrasyonu aracılığıyla CSRF | Orta |
| Bir Taahhüt API’sinin İşlem Hattı Durumunu Ayarla’yı kullanmak hatalı bir şekilde yeni bir işlem hattı oluşturur | Orta |
| Wiki oluşturma API’sinde/Sayfasında yinelemeler | Orta |
| test_report API çağrılarıyla kaynak tükenmesi ve hizmet reddi | Orta |
| Konuk kullanıcı, iş yapıları aracılığıyla özel projelerin bağımlılık listelerini görüntüleyebilir | Orta |
Saldırılarda aktif olarak kullanılan eski hesap ele geçirme hatası
GitLab, API anahtarları ve özel kod da dahil olmak üzere çeşitli türde hassas verileri barındırdığı bilindiğinden popüler bir hedeftir.
Bu nedenle, saldırganların CI/CD (Sürekli Entegrasyon/Sürekli Dağıtım) ortamlarına kötü amaçlı kod yerleştirmesi ve bir kuruluşun depolarını tehlikeye atması durumunda ele geçirilen GitLab hesapları, tedarik zinciri saldırıları da dahil olmak üzere önemli bir etkiye sahip olabilir.
CISA’nın bu ayın başlarında uyardığı gibi, tehdit aktörleri artık Ocak ayında GitLab tarafından yamalanan başka bir sıfır tıklamayla hesap ele geçirme güvenlik açığından aktif olarak yararlanıyor.
CVE-2023-7028 olarak izlenen bu maksimum önem derecesine sahip güvenlik açığı, kimliği doğrulanmamış saldırganların parola sıfırlama yoluyla GitLab hesaplarını ele geçirmesine olanak tanıyor.
Shadowserver, Ocak ayında çevrimiçi olarak açığa çıkan 5.300’den fazla savunmasız GitLab örneğini keşfetmiş olsa da, şu anda bunların yarısından azına (2.084) hâlâ ulaşılabilir durumda.
CISA, 1 Mayıs’ta Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğu’na CVE-2023-7028’i ekleyerek ABD federal kurumlarının 22 Mayıs’a kadar üç hafta içinde sistemlerini güvence altına almalarını emretti.