Zero-click в GitLab: 5 критических уязвимостей способны скомпрометировать любую цепочку поставок

Компания GitLab выпустила обновления безопасности как для Community, так и для Enterprise Edition в целях устранения ряда критических уязвимостей. Разработчики настоятельно рекомендуют обновить все уязвимые версии платформы DevSecOps (требуется ручное обновление для самостоятельно размещённых установок). При этом подчёркивается, если тип развёртывания продукта не указан — значит затронуты все типы.

Наиболее критическая проблема безопасности, исправленная GitLab, имеет максимальный уровень серьёзности (10 из 10 по шкале CVSS) и отслеживается под идентификатором CVE-2023-7028 . Это Zero-Click уязвимость, её успешная эксплуатация не требует взаимодействия с пользователем.

Проблема кроется в процессе аутентификации и позволяет злоумышленникам отправлять запросы для сброса пароля на произвольные, непроверенные электронные адреса, что и ведёт к последующему захвату учётной записи. Если на аккаунте активна двухфакторная аутентификация (2FA), пароль можно сбросить, но для успешного входа всё равно потребуется пройти второй фактор аутентификации.

Захват учётной записи GitLab может серьёзно повлиять на организацию, поскольку платформа обычно используется для хранения кода, ключей API и других конфиденциальных данных. Другой риск — это атаки на цепочку поставок, когда злоумышленники могут скомпрометировать репозитории, скрытно вставляя вредоносный код в рабочие среды, когда GitLab используется для CI/CD (непрерывной интеграции и развёртывания).

Уязвимость была обнаружена исследователем безопасности «Asterion». По его информации, она была введена на платформу 1 мая 2023 года с версией 16.1.0.

Затронуты следующие версии:

• 16.1 до 16.1.5
• 16.2 до 16.2.8
• 16.3 до 16.3.6
• 16.4 до 16.4.4
• 16.5 до 16.5.6
• 16.6 до 16.6.4
• 16.7 до 16.7.2

Проблема была устранена в версиях GitLab 16.7.2, 16.5.6 и 16.6.4, и также было перенесено в версии 16.1.6, 16.2.9 и 16.3.7.

GitLab сообщает, что не обнаружила случаев активной эксплуатации CVE-2023-7028, однако, на всякий случай, предоставила ряд признаков компрометации в своём бюллетене безопасности .

Вторая критическая проблема идентифицирована как CVE-2023-5356 и имеет оценку серьёзности 9.6 из 10. Злоумышленники могут использовать её для злоупотребления интеграциями Slack / Mattermost, выполняя команды slash от имени другого пользователя.

В Mattermost команды slash позволяют интегрировать внешние приложения в рабочую область, а в Slack они действуют как ярлыки для вызова приложений в окне Message Composer.

Также в GitLab 16.7.2 были исправлены следующие недостатки безопасности:

• CVE-2023-4812 . Высокоуровневая уязвимость в GitLab 15.3 и более поздних версиях, позволяющая обходить утверждение CODEOWNERS путём внесения изменений в ранее одобренный запрос на слияние.
• CVE-2023-6955 . Неправильный контроль доступа для рабочих пространств, существующих в GitLab до версии 16.7.2, позволяющий злоумышленникам создавать рабочее пространство в одной группе, связанное с агентом из другой группы.
• CVE-2023-2030 . Проблема проверки подписи коммитов, влияющая на версии GitLab CE/EE с 12.2 и выше, связанная с возможностью изменения метаданных подписанных коммитов из-за неправильной проверки подписи.

Инструкции и официальные ресурсы для обновления можно найти на странице обновлений GitLab . А для Gitlab Runner посетить следующую веб-страницу .