GitLab risolve due vulnerabilità su dirottamento account zero-click

GitLab ha rilasciato nuovi aggiornamenti di sicurezza sia per la Community che per l'Enterprise Edition per risolvere due vulnerabilità critiche, una delle quali consente il dirottamento dell'account senza interazione da parte dell'utente. Il fornitore ha consigliato vivamente di aggiornare il prima possibile tutte le versioni vulnerabili della piattaforma DevSecOps (aggiornamento manuale richiesto per installazioni self-hosted). Inoltre, con un post sul proprio blog ufficiale, GitLab ha specificato che “se non viene menzionato alcun tipo specifico di distribuzione di un prodotto (omnibus, codice sorgente, diagramma timone, ecc.), ciò vuol dire che tutti i tipi sono interessati”.

GitLab: i dettagli delle due vulnerabilità critiche scoperte

Il problema di sicurezza più critico a cui GitLab ha applicato la patch ha il punteggio di gravità massimo (10 su 10) e viene monitorato come CVE-2023-7028. Lo sfruttamento riuscito non richiede alcuna interazione. Si tratta di un problema di autenticazione che consente l'invio di richieste di reimpostazione della password a indirizzi e-mail arbitrari e non verificati. Ciò consentirebbe agli autori delle minacce di avere il controllo dell'account. Se l'autenticazione a due fattori (2FA) è attiva, è possibile reimpostare la password. Tuttavia, il secondo fattore di autenticazione è ancora necessario per un accesso riuscito. Il dirottamento di un account GitLab può avere un impatto significativo su un'organizzazione poiché la piattaforma viene generalmente utilizzata per ospitare codice proprietario, chiavi API e altri dati sensibili.

Un altro rischio è quello degli attacchi alla catena di fornitura. Gli aggressori possono compromettere i repository inserendo codice dannoso in ambienti live quando GitLab viene utilizzato per CI/CD (Continuous Integration/Continuous Deployment). Il problema è stato scoperto dal ricercatore di sicurezza "Asterion" tramite la piattaforma bug bounty HackerOne ed è stato introdotto con la versione 16.1.0. Il difetto è stato risolto nelle versioni GitLab 16.7.2, 16.5.6 e 16.6.4, ed è stato effettuato il backport della correzione anche alle versioni 16.1.6, 16.2.9 e 16.3.7. Il secondo problema critico, CVE-2023-5356, ha un punteggio di gravità di 9,6 su 10. Utenti malintenzionati potrebbero sfruttarlo per abusare delle integrazioni Slack/Mattermost per eseguire comandi slash fingendosi altri utenti. Tali comandi consentono di integrare applicazioni esterne nello spazio di lavoro. In Slack fungono da scorciatoie per richiamare app nella casella di composizione dei messaggi. Fortunatamente, anche questa vulnerabilità è stata prontamente risolta con l’aggiornamento.