24.02.2024

Hack Pub

Новости интересные и малоизвестные из IT индустрии

git-lab-cve

Gitlab устранила опасные уязвимости для взлома учетных записей

GitLab выпустила обновления безопасности для Community и Enterprise Edition для устранения двух критических уязвимостей, одна из которых позволяет перехватить учетную запись без взаимодействия пользователя.

Провайдер настоятельно рекомендует как можно скорее обновить все уязвимые версии платформы DevSecOps (для самоуправляемых установок требуется ручное обновление) и предупреждает, что если не указано «конкретный тип развертывания продукта (omnibus, исходный код, helm chart и т. д.)», это означает, что все типы затронуты.»

Детали уязвимости

Наиболее критическая проблема безопасности, которую исправил GitLab, имеет максимальную оценку серьезности (10 из 10) и отслеживается как CVE-2023-7028. Успешный запуск не требует взаимодействия.

Это проблема аутентификации, которая позволяет отправлять запросы сброса пароля на произвольные не проверенные адреса электронной почты, что позволяет захватывать учетные записи. Если включена двухфакторная аутентификация (2FA), можно сбросить пароль, но для успешного входа по-прежнему требуется второй фактор аутентификации.

Захват учетной записи GitLab может иметь значительное влияние на организацию, поскольку платформа обычно используется для размещения проприетарного кода, API-ключей и другой конфиденциальной информации.

Еще один риск заключается в атаках цепочки поставок, когда злоумышленники могут компрометировать репозитории, вставляя вредоносный код в живые среды при использовании GitLab для CI/CD (Continuous Integration/Continuous Deployment).

Проблема была обнаружена и сообщена в GitLab исследователем безопасности «Asterion» через платформу Bug Bounty HackerOne и была введена 1 мая 2023 года с версией 16.1.0.

На следующие версии влияют:

  • 16.1 до 16.1.5
  • 16.2 до 16.2.8
  • 16.3 до 16.3.6
  • 16.4 до 16.4.4
  • 16.5 до 16.5.6
  • 16.6 до 16.6.4
  • 16.7 до 16.7.2

Недостаток был устранен в версиях GitLab 16.7.2, 16.5.6 и 16.6.4, и исправление также было перенесено на 16.1.6, 16.2.9 и 16.3.7.

GitLab говорит, что он не обнаружил случаев активного использования CVE-2023-7028, но поделился следующими признаками компрометации для защитников:

Проверьте gitlab-rails/production_json.log на наличие HTTP-запросов к пути /users/password с params.value.email в виде JSON-массива с несколькими адресами электронной почты.

Проверьте gitlab-rails/audit_json.log для записей с meta.caller.id PasswordsController#create и target_details в виде JSON-массива с несколькими адресами электронной почты.

Вторая критическая проблема идентифицируется как CVE-2023-5356 и имеет оценку серьезности 9,6 из 10. Злоумышленник может использовать ее для злоупотребления интеграциями Slack/Mattermost для выполнения команд slash как другой пользователь.

В Mattermost команды slash позволяют интегрировать внешние приложения в рабочий стол, а в Slack они выступают в качестве ярлыков для вызова приложений в окне для создания сообщений.

Остальные недостатки, которые GitLab исправил в версии 16.7.2:

CVE-2023-4812: Сильная уязвимость в GitLab 15.3 и более поздних версиях, позволяющая обойти одобрение CODEOWNERS путем внесения изменений в ранее одобренный запрос на слияния.

CVE-2023-6955: Неправильный контроль доступа для Workspaces, существующих в GitLab до 16.7.2, позволяя злоумышленникам создавать рабочее пространство в одной группе, связанное с агентом из другой группы.

CVE-2023-2030: Неисправность проверки подписи коммитов, затрагивающая версии GitLab CE/EE 12.2 и новее, связанная с возможностью изменения метаданных подписанных коммитов из-за неправильной проверки подписи

Для получения инструкций и официальных ресурсов для обновления перейдите на страницу обновления GitLab. Для GitLab Runner посетите эту веб-страницу.