GitLab: bug critico consente di eseguire pipeline come altri utenti

GitLab ha avvertito che una vulnerabilità critica nelle edizioni GitLab Community ed Enterprise consente agli aggressori di eseguire processi di pipeline come qualsiasi altro utente. La piattaforma GitLab DevSecOps conta oltre 30 milioni di utenti registrati ed è utilizzata da oltre il 50% delle aziende Fortune 100. Queste includono T-Mobile, Goldman Sachs, Airbus, Lockheed Martin, Nvidia e UBS. Il difetto presente nell'aggiornamento di sicurezza è stato tracciato come CVE-2024-6385 e ha ricevuto un punteggio di gravità CVSS pari a 9,6 su 10. Il bug ha effetto su tutte le versioni GitLab CE/EE dalla 15.8 alla 16.11.6, dalla 17.0 alla 17.0.4 e dalla 17.1 alla 17.1.2. In determinate circostanze (GitLab deve ancora rivelare quali) gli aggressori possono sfruttarlo per attivare una nuova pipeline come utente arbitrario.

La pipeline GitLab è una funzionalità di sistema di integrazione continua/distribuzione continua (CI/CD) Questa consente agli utenti di eseguire automaticamente processi e attività in parallelo o in sequenza per creare, testare o distribuire modifiche al codice. L'azienda ha rilasciato le versioni GitLab Community ed Enterprise 17.1.2, 17.0.4 e 16.11.6 per risolvere questa grave falla di sicurezza e ha consigliato a tutti gli amministratori di aggiornare immediatamente tutte le installazioni.

GitLab: bug di acquisizione dell'account sfruttato attivamente negli attacchi

GitLab ha corretto una vulnerabilità quasi identica (tracciata come CVE-2024-5655) alla fine di giugno. Questa poteva anche essere sfruttata per eseguire pipeline come altri utenti. Un mese prima, aveva risolto una vulnerabilità di elevata gravità (CVE-2024-4835) che consentiva agli autori delle minacce non autenticate di prendere il controllo degli account negli attacchi cross-site scripting (XSS). Come avvertito CISA a maggio, gli autori delle minacce stanno sfruttando attivamente anche un’altra vulnerabilità GitLab zero-click (CVE-2023-7028) corretta a gennaio. Questa vulnerabilità consentiva agli aggressori non autenticati di prendere il controllo degli account tramite la reimpostazione della password.

Shadowserver ha rilevato oltre 5.300 istanze GitLab vulnerabili esposte online a gennaio. Tuttavia, meno della metà (1.795) sono ancora raggiungibili oggi. Gli aggressori prendono di mira GitLab perché ospita vari tipi di dati aziendali sensibili, tra cui chiavi API e codice proprietario. Gli hacker agiscono anche tramite attacchi alla catena di fornitura. Ciò avviene quando viene inserito codice dannoso negli ambienti CI/CD, compromettendo i repository dell'organizzazione violata.