L’agenzia statunitense CISA (Cybersecurity and Infrastructure Security Agence) ha annunciato che alcuni hacker starebbero sfruttando attivamente una vulnerabilità di massima gravità di GitLab. Questa consentirebbe loro di assumere il controllo degli account tramite la reimpostazione della password. GitLab ospita dati sensibili, inclusi codice proprietario e chiavi API. Per questo motivo, il dirottamento degli account può avere un impatto significativo. Uno sfruttamento riuscito può portare ad attacchi alla catena di fornitura, capaci di compromettere i repository inserendo codice dannoso negli ambienti CI/CD (Continuous Integration/Continuous Deployment). Classificata come CVE-2023-7028, la falla di sicurezza è dovuta a un punto debole del controllo degli accessi improprio. Questo può consentire agli autori di minacce remote non autenticate di inviare e-mail di reimpostazione della password agli account e-mail sotto il loro controllo per modificare la password e dirottare gli account mirati senza l'interazione dell'utente.
GitLab: più di 2000 istanze GitLab sarebbero ancora vulnerabili
Il bug CVE-2023-7028 influisce sulle edizioni GitLab Community ed Enterprise. L’azienda lo ha risolto nelle versioni 16.7.2, 16.5.6 e 16.6.4 e ha eseguito il backport delle patch alle versioni 16.1.6, 16.2.9 e 16.3.7. Fortunatamente, gli aggressori non possano sfruttare questa vulnerabilità per prendere il controllo degli account in cui è abilitata l'autenticazione a due fattori (2FA). Tuttavia, è fondamentale applicare patch ai sistemi in cui gli account non sono protetti con questa misura di sicurezza aggiuntiva. Il servizio di monitoraggio delle minacce Shadowserver ha rilevato 5.379 istanze GitLab vulnerabili esposte online a gennaio (la settimana in cui sono state rilasciate le patch di sicurezza). Tuttavia, meno della metà (2.394) sono ancora raggiungibili al momento.
Mercoledì la CISA ha aggiunto CVE-2023-7028 al suo catalogo delle vulnerabilità note sfruttate, confermando che questa viene attivamente sfruttata negli attacchi. L'agenzia di sicurezza informatica statunitense non ha condiviso alcuna informazione riguardante gli attacchi in corso che sfruttano questo bug di sicurezza GitLab di massima gravità. Tuttavia, ha confermato di non avere prove che venga utilizzato negli attacchi ransomware. Sebbene il catalogo KEV dell’agenzia sia rivolto principalmente alle agenzie federali, anche le organizzazioni private che utilizzano la piattaforma GitLab DevOps dovrebbero dare priorità all’applicazione di patch dedicate a questa vulnerabilità. Secondo l’agenzia, gli account che non hanno ancora applicato la patch potrebbero essere già stati compromessi. In questo caso è consigliato seguire la pagina Responding to security incidents di GitLab e verificare la presenza di segnali di compromissione.