02.05.2024
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), devam eden saldırılar nedeniyle GitLab'ı etkileyen kritik bir güvenlik açığını Bilinen Sömürülen Güvenlik Açıkları (KEV) kataloğuna dahil etti.
CVE-2023-7028 olarak bilinen (CVSS puanı: 10.0) bu yüksek düzeydeki güvenlik açığı, doğrulanmamış bir e-posta adresine parola sıfırlama e-postaları göndererek hesap ele geçirilmesine olanak tanıyabilir.
GitLab, bu sorunun detaylarını Ocak ayında açıkladı ve bu sorunun Mayıs 1, 2023 tarihinde 16.1.0 sürümünde ortaya çıktığını belirtti.
"Bu sürümler içinde, tüm kimlik doğrulama mekanizmaları etkilenmiştir," şirketin belirttiği gibi. "Ayrıca, iki faktörlü kimlik doğrulama etkinleştirilmiş kullanıcılar da parola sıfırlama saldırılarına duyarlıdır, ancak hesap ele geçirme için giriş için ikinci doğrulama faktörü gereklidir."
Bu güvenlik açığı istismar edilirse, ciddi sonuçlar doğurabilir ve saldırganın sadece bir GitLab kullanıcı hesabının kontrolünü ele geçirmesine değil, aynı zamanda hassas bilgileri, kimlik bilgilerini ve potansiyel olarak kaynak kod depolarına zararlı kod enjekte etmesine izin verebilir, bu da tedarik zinciri saldırılarına yol açabilir.
"Örneğin, bir saldırganın CI/CD boru hattı yapılandırmasına erişim sağlaması, hassas verileri (Kişisel Bilgiler (PII) veya kimlik doğrulama jetonları gibi) çıkarmak için zararlı kod eklemesini, bunları saldırganın kontrol ettiği bir sunucuya yönlendirmesini sağlayabilir," diye açıklıyor bulut güvenlik firması Mitiga son raporunda.
"Aynı şekilde, depo kodunu değiştirmek, sistem bütünlüğünü tehlikeye atan kötü amaçlı yazılımı eklemeyi veya yetkisiz erişim için arka kapılar açmayı içerebilir. Zararlı kod veya boru hattının yanlış kullanımı, veri hırsızlığına, kodun bozulmasına, yetkisiz erişime ve tedarik zinciri saldırılarına neden olabilir."
Güvenlik açığı, GitLab sürümlerinde 16.5.6, 16.6.4 ve 16.7.2'de yamalanmış olup, yamaların aynı zamanda daha önceki sürümler 16.1.6, 16.2.9, 16.3.7 ve 16.4.5'e de uygulandığı belirtilmiştir.
CISA, güvenlik açığının gerçek dünya saldırılarında nasıl istismar edildiği konusunda ek detaylar sağlamamıştır. Ancak, aktif istismar göz önüne alındığında, federal kurumlar ağlarını korumak için en son düzeltmeleri 22 Mayıs 2024 tarihine kadar uygulamak zorundadır.