Oltre 5.300 istanze GitLab esposte su internet sono vulnerabili a CVE-2023-7028, un difetto di acquisizione dell'account con zero clic. GitLab aveva già messo in guardia gli utenti in merito a tale vulnerabilità all'inizio di questo mese. Il bug critico (punteggio CVSS: 10,0) consente agli aggressori di inviare e-mail di reimpostazione della password per un account preso di mira a un indirizzo e-mail controllato dall'aggressore. Ciò consente all'autore della minaccia di modificare la password e assumere il controllo dell'account rubato. Sebbene il difetto non elimini l’autenticazione a due fattori (2FA), rappresenta un rischio significativo per tutti gli account non protetti da questo meccanismo di sicurezza. Il problema riguarda le versioni GitLab Community ed Enterprise Edition 16.1 precedenti alla 16.1.5, 16.2 precedenti alla 16.2.8, 16.3 precedenti alla 16.3.6, 16.4 precedenti alla 16.4.4, 16.5 precedenti alla 16.5.6, 16.6 precedenti alla 16.6.4 e 16.7 precedenti alla 16.7.2.
GitLab: divulgazione di codice e altre attività dannose negli account delle vittime
Due settimane fa, GitLab ha rilasciato le correzioni alle versioni 16.7.2, 16.5.6 e 16.6.4, oltre al backport delle patch alle versioni 16.1.6, 16.2.9 e 16.3.7. Adesso, dopo il rilascio degli aggiornamenti di sicurezza, il servizio di monitoraggio delle minacce ShadowServer segnala di aver visto 5.379 istanze GitLab vulnerabili esposte online. Questi server sono a rischio di attacchi alla catena di fornitura, divulgazione di codice proprietario, fuga di chiavi API e altre attività dannose. Ciò avviene in base al ruolo di GitLab come piattaforma di sviluppo software e pianificazione dei progetti e al tipo e alla gravità del difetto. Shadowserver riferisce che la maggior parte dei server vulnerabili si trova negli Stati Uniti, seguiti da Germania, Russia, Cina, Francia, Regno Unito, India, e Canada.
Gli utenti che non hanno ancora installato la patch potrebbero avere gli account già stati compromessi. È quindi fondamentale utilizzare la guida alla risposta agli incidenti di GitLab, per verificare la presenza di segnali di compromissione. Gli amministratori che trovano istanze compromesse dovrebbero ruotare tutte le credenziali, i token API, i certificati e qualsiasi altro segreto. Inoltre è utile abilitare 2FA su tutti gli account e applicare l'aggiornamento di sicurezza. Dopo aver protetto i server, gli amministratori dovrebbero inoltre verificare la presenza di modifiche nel proprio ambiente di sviluppo, inclusi codice sorgente e file potenzialmente manomessi. Ad oggi non sono stati confermati casi di sfruttamento attivo di CVE-2023-7028, ma ciò non deve essere interpretato come un motivo per rinviare l'azione.