Dan Goodin donosi za pośrednictwem Ars Technica: *Poważna usterka, która pozwala hakerom przejąć konta GitLab bez konieczności interakcji użytkownika, jest obecnie wykorzystywana w aktywny sposób, ostrzegli urzędnicy federalni, gdy dane pokazały, że tysiące użytkowników wciąż nie zainstalowało łaty wydanej w styczniu. Zmiana w GitLabie wprowadzona w maju 2023 r. umożliwiła użytkownikom inicjowanie zmian hasła poprzez linki wysyłane na dodatkowe adresy e-mail. Ruch ten miał na celu umożliwienie resetów, gdy użytkownicy nie mieli dostępu do adresu e-mail, który został użyty do założenia konta. W styczniu GitLab ujawnił, że funkcja pozwalała atakującym wysyłać e-maile resetujące na konta, którymi zarządzali, a następnie kliknąć na osadzony link i przejąć konto.
Chociaż eksploatacja nie wymagała interakcji użytkownika, przejęcia działały tylko wobec kont, które nie były skonfigurowane do korzystania z uwierzytelniania dwuskładnikowego. Nawet przy MFA (multi factor authentication), konta pozostawały podatne na resetowanie haseł. Usterka, o śledzonym numerze CVE-2023-7028, ma stopień 10 na możliwych 10. Usterka, sklasyfikowana jako błąd dotyczący niewłaściwej kontroli dostępu, mogłaby stanowić poważne zagrożenie.
Oprogramowanie GitLaba zazwyczaj ma dostęp do wielu środowisk deweloperskich należących do użytkowników. Mając możliwość dostępu do nich i podstępnie wprowadzając zmiany, atakujący mogliby sabotować projekty lub wprowadzać podstawienia, które mogą zainfekować każdego, kto korzysta z oprogramowania zbudowanego w skompromitowanym środowisku. Przykładem podobnego ataku na łańcuch dostaw jest ten, który dotknął SolarWinds w 2021 r., infekując ponad 18 000 jego klientów.
Hakerzy poprzez zhakowanie pojedynczego, starannie wybranego celu, uzyskują środek do zainfekowania tysięcy użytkowników, często nie wymagając od nich podjęcia jakiejkolwiek akcji. Według skanów internetowych przeprowadzonych przez organizację bezpieczeństwa Shadowserver, ponad 2 100 adresów IP pokazało, że hostują jedną lub więcej podatnych instancji GitLaba. Aby zabezpieczyć swój system, powinieneś włączyć korzystanie z MFA i zainstalować najnowszą łatkę. "Użytkownicy GitLaba powinni również pamiętać, że stosowanie łatek nie zapewnia bezpieczeństwa dla systemów, które zostały już naruszone poprzez eksploatacje," zauważa Goodin.
ELI5: Fachowcy odkryli poważną lukę w systemie GitLab, która pozwala hakerom na przejęcie kont użytkowników bez ich zgody. Atakujący mogą włamać się do konta i wprowadzać zmiany, co stwarza ryzyko sabotażu lub zainfekowania oprogramowania. Łatka została wydana w styczniu, ale niektórzy użytkownicy jej nie zainstalowali, co stwarza zagrożenie. Aby zabezpieczyć system, użytkownicy powinni zainstalować łatkę i korzystać z uwierzytelniania dwuskładnikowego.
Źródła: