A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA adicionou uma falha crítica que afeta a vulnerabilidade conhecida do GitLab (KEV - Known Exploited Vulnerabilities Catalog).
Identificada como CVE-2023-7028 (CVSS score: 10.0), a vulnerabilidade de gravidade máxima poderia facilitar a aquisição de conta enviando e-mails de redefinição de senha para um endereço de e-mail não verificado.
O GitLab, que divulgou detalhes da falha no início de janeiro, disse que foi introduzido como parte de uma mudança de código na versão 16.1.0 em 1 de maio de 2023.
A empresa disse na época que "Dessas versões, todos os mecanismos de autenticação são afetados". "Além disso, os usuários que têm a autenticação de dois fatores ativada são vulneráveis à redefinição de senha, mas não à aquisição de conta, pois é necessário a utilização do segundo fator de autenticação para fazer login."
A exploração bem-sucedida do problema pode ter sérias consequências, pois não permite apenas que um invasor assuma o controle de uma conta de usuário do GitLab, mas também roube informações confidenciais e credenciais, até mesmo infectar repositórios de código-fonte com código malicioso, levando a múltiplos tipos de ataques.
Em um relatório feito pela empresa de segurança Mitiga, "O invasor que obtém acesso à configuração do pipeline CI/CD pode incorporar código malicioso projetado para roubar dados confidenciais, como informações pessoais (PII) ou tokens de autenticação, redirecionando-os para um servidor controlado pelo invasor".
"Da mesma forma, a adulteração do código do repositório pode envolver a inserção de malware que compromete a integridade do sistema ou introduz backdoors para acesso não autorizado.
Código malicioso ou abuso do pipeline pode levar ao roubo de dados, interrupção de código, acesso não autorizado e ataques à cadeia de suprimentos."
A falha foi corrigida nas versões 16.5.6, 16.6.4 e 16.7.2 do GitLab, com os patches também backported para as versões 16.1.6, 16.2.9, 16.3.7 e 16.4.5.
A CISA ainda não forneceu outros detalhes sobre como a vulnerabilidade está sendo explorada em ataques reais. As agências federais foram obrigadas a aplicar as correções mais recentes até 22 de maio de 2024, para proteger suas redes.
Via - THN
Comentarios