CISA: критический недостаток в GitLab активно эксплуатируется хакерами

Критический недостаток в системе GitLab, позволяющий перехватывать управление учётными записями, недавно был добавлен в каталог известных эксплуатируемых уязвимостей CISA. Проблема, обозначенная как CVE-2023-7028, с максимальной оценкой по шкале CVSS : 10.0, в настоящий момент активно используется злоумышленниками.

Уязвимость возникла из-за изменений в коде GitLab в версии 16.1.0 от 1 мая 2023 года и касается всех механизмов аутентификации GitLab. Владельцы аккаунтов с двухфакторной аутентификацией также подвержены риску сброса пароля, однако для полного контроля над аккаунтом хакерам всё же потребуется доступ к устройству, на которое подвязано 2FA.

Эксплуатация CVE-2023-7028 может привести к серьёзным последствиям, включая кражу конфиденциальной информации и учётных данных, а также внедрение вредоносного кода в репозитории исходного кода, что угрожает целостности всей цепочки поставок.

Примером таких атак является возможность для злоумышленников получить доступ к настройкам CI/CD-конвейеров и внедрить код, который будет перенаправлять чувствительные данные на серверы, контролируемые атакующими. Возможно также вмешательство в код репозитория с целью внедрения в него вредоносного ПО, что может привести к компрометации систем и несанкционированному доступу.

В ответ на угрозу были выпущены обновления для версий GitLab 16.5.6, 16.6.4, и 16.7.2, при этом исправления также были перенесены в версии 16.1.6, 16.2.9, 16.3.7 и 16.4.5.

В связи с активным злоупотреблением этой уязвимостью, федеральные агентства США должны установить последние исправления GitLab до 22 мая 2024 года для обеспечения безопасности своих сетей. CISA пока не предоставила дополнительных деталей о методах эксплуатации уязвимости в реальных атаках, однако подчёркивает, что медлить с устранением угрозы нельзя.