GitLab alerta sobre falha crítica de sequestro de conta sem clique

Em suas mais recentes atualizações de segurança, o GitLab alerta sobre falha crítica de sequestro de conta sem clique.

O GitLab lançou atualizações de segurança para as edições Community e Enterprise para solucionar duas vulnerabilidades críticas, uma delas permitindo o sequestro de contas sem interação do usuário.

O fornecedor recomenda fortemente a atualização o mais rápido possível de todas as versões vulneráveis da plataforma DevSecOps (atualização manual necessária para instalações auto-hospedadas) e alerta que se não houver “nenhum tipo de implantação específico (omnibus, código-fonte, gráfico de leme, etc.) de um produto é mencionado, isso significa que todos os tipos são afetados”.

GitLab alerta sobre falha crítica de sequestro de conta sem clique

GitLab alerta sobre falha crítica de sequestro de conta sem clique
GitLab alerta sobre falha crítica de sequestro de conta sem clique

Sim. O GitLab alerta sobre falha crítica de sequestro de conta sem clique. O problema de segurança mais crítico corrigido pelo GitLab tem a pontuação de gravidade máxima (10 em 10) e está sendo rastreado como CVE-2023-7028. A exploração bem-sucedida não requer nenhuma interação.

É um problema de autenticação que permite que solicitações de redefinição de senha sejam enviadas para endereços de e-mail arbitrários e não verificados, permitindo o controle da conta.

Se a autenticação de dois fatores (2FA) estiver ativa, será possível redefinir a senha, mas o segundo fator de autenticação ainda será necessário para o login bem-sucedido.

O sequestro de uma conta GitLab pode ter um impacto significativo em uma organização, uma vez que a plataforma é normalmente usada para hospedar código proprietário, chaves de API e outros dados confidenciais.

Outro risco é o de ataques à cadeia de suprimentos, onde os invasores podem comprometer repositórios inserindo código malicioso em ambientes ativos quando o GitLab é usado para CI/CD (Integração Contínua/Implantação Contínua).

O problema foi descoberto e relatado ao GitLab pelo pesquisador de segurança ‘Asterion’ por meio da plataforma de recompensas de bugs HackerOne e foi introduzido em 1º de maio de 2023, com a versão 16.1.0.

As seguintes versões são afetadas:

  • 16.1 antes de 16.1.5
  • 16.2 antes de 16.2.8
  • 16.3 antes de 16.3.6
  • 16.4 antes de 16.4.4
  • 16.5 antes de 16.5.6
  • 16.6 antes de 16.6.4
  • 16.7 antes de 16.7.2

A falha foi corrigida nas versões 16.7.2, 16.5.6 e 16.6.4 do GitLab, e a correção também foi transferida para 16.1.6, 16.2.9 e 16.3.7.

O GitLab afirma que não detectou nenhum caso de exploração ativa do CVE-2023-7028, mas compartilhou os seguintes sinais de comprometimento para os defensores:

  • Check gitlab-rails/production_json.log for HTTP requests to the /users/password path with params.value.email consisting of a JSON array with multiple email addresses.
  • Check gitlab-rails/audit_json.log for entries with meta.caller.id of PasswordsController#create and target_details consisting of a JSON array with multiple email addresses.

O segundo problema crítico é identificado como CVE-2023-5356 e tem uma pontuação de gravidade de 9,6 em 10. Um invasor pode explorá-lo para abusar das integrações Slack/Mattermost para executar comandos de barra como outro usuário.

No Mattermost, os comandos de barra permitem integrar aplicativos externos ao espaço de trabalho e no Slack atuam como atalhos para invocar aplicativos na caixa do compositor de mesasge.

O restante das falhas que o GitLab corrigiu na versão 16.7.2 são:

  1. CVE-2023-4812 : Vulnerabilidade de alta gravidade no GitLab 15.3 e posterior, permitindo ignorar a aprovação de CODEOWNERS fazendo alterações em uma solicitação de mesclagem aprovada anteriormente.
  2. CVE-2023-6955 : Controle de acesso inadequado para espaços de trabalho existentes no GitLab antes de 16.7.2, permitindo que invasores criem um espaço de trabalho em um grupo associado a um agente de outro grupo.
  3. CVE-2023-2030 : Falha de validação de assinatura de commit impactando GitLab CE/EE versões 12.2 e posteriores, envolvendo a possibilidade de modificar os metadados de commits assinados devido à validação de assinatura inadequada

Para obter instruções e recursos oficiais de atualização, verifique a página de atualização do GitLab. Para Gitlab Runner, visite esta página web.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.