Исследователи предупреждают, что более 5300 установок GitLab, которые можно обнаружить в интернете, по-прежнему уязвимы перед проблемой CVE-2023-7028, связанной с захватом учетной записи, о которой разработчики сообщали ранее в этом месяце.

Напомним, что CVE-2023-7028 получила максимальные 10 баллов по шкале CVSS и может использоваться для захвата учетной записи путем отправки письма для сброса пароля на произвольный, непроверенный адрес электронной почты. Этот баг является результатом ошибки в процессе верификации email, которая позволяет сбрасывать пароль через дополнительный адрес электронной почты.

Уязвимость затрагивает все self-managed экземпляры GitLab Community Edition (CE) и Enterprise Edition (EE), использующих следующие версии:

• 16.1 до 16.1.6;
• 16.2 до 16.2.9;
• 16.3 до 16.3.7;
• 16.4 до 16.4.5;
• 16.5 до 16.5.6;
• 16.6 до 16.6.4;
• 16.7 до 16.7.2.

Разработчики GitLab сообщали, что устранили проблему в версиях GitLab 16.5.6, 16.6.4 и 16.7.2, а также сделали бэкпорт исправлений в версии 16.1.6, 16.2.9, 16.3.7 и 16.4.5. При этом отмечалось, что ошибка возникла еще в версии 16.1.0, то есть в мае 2023 года.

Хотя эта уязвимость не позволяет обойти двухфакторную аутентификацию (2ФА), она представляет значительный риск для любых учетных записей, не защищенных таким образом.

Как теперь пишут специалисты ShadowServer, в настоящее время в сети доступны 5379 уязвимых установок GitLab. Большинство из них находятся в США (964), Германии (730), России (721), Китае (503), Франции (298), Великобритании (122), Индии (117), и Канаде (99).

Учитывая роль GitLab как платформы для разработки ПО и планирования проектов, а также серьезность проблемы, серверы, уязвимые перед CVE-2023-7028, подвергаются рискам атак на цепочке поставок, раскрытия проприетарного кода, утечки ключей API и так далее.

Те, кто до сих пор не установил патчи, вероятно, уже могут быть скомпрометированы. Поэтому им настоятельно рекомендуется изучить руководство GitLab по реагированию на инциденты, а также поискать признаки компрометации.

Ранее инженеры GitLab поделились следующими индикаторами компрометации:

  • в gitlab-rails/production_json.log могут присутствовать HTTP-запросы к пути /users/password с params.value.email, состоящим из JSON-массива с несколькими адресами электронной почты;
  • в gitlab-rails/audit_json.log следует искать записи с meta.caller.id из PasswordsController#create и target_details, состоящие из массива JSON с несколькими адресами электронной почты.

Администраторам, обнаружившим признаки взлома, следует немедленно изменить все учетные данные, токены API, сертификаты и любые другие секреты, а также включить 2ФА для всех учетных записей и установить последние патчи. После этого нужно проверить наличие изменений в среде разработки, включая исходный код и файлы, которые могли быть модифицированы.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии