✔Более 5300 серверов GitLab уязвимы перед проблемой захвата учетной записи - «Новости»

26 января 2024 148 Добавления стилей / Изображения / Новости / Преимущества стилей / Вёрстка / Текст 0

Напомним, что CVE-2023-7028 получила максимальные 10 баллов по шкале CVSS и может использоваться для захвата учетной записи путем отправки письма для сброса пароля на произвольный, непроверенный адрес электронной почты. Этот баг является результатом ошибки в процессе верификации email, которая позволяет сбрасывать пароль через дополнительный адрес электронной почты.

Уязвимость затрагивает все self-managed экземпляры GitLab Community Edition (CE) и Enterprise Edition (EE), использующих следующие версии:

• 16.1 до 16.1.6;

• 16.2 до 16.2.9;

• 16.3 до 16.3.7;

• 16.4 до 16.4.5;

• 16.5 до 16.5.6;

• 16.6 до 16.6.4;

• 16.7 до 16.7.2.

Разработчики GitLab сообщали, что устранили проблему в версиях GitLab 16.5.6, 16.6.4 и 16.7.2, а также сделали бэкпорт исправлений в версии 16.1.6, 16.2.9, 16.3.7 и 16.4.5. При этом отмечалось, что ошибка возникла еще в версии 16.1.0, то есть в мае 2023 года.

Хотя эта уязвимость не позволяет обойти двухфакторную аутентификацию (2ФА), она представляет значительный риск для любых учетных записей, не защищенных таким образом.

Как теперь пишут специалисты ShadowServer, в настоящее время в сети доступны 5379 уязвимых установок GitLab. Большинство из них находятся в США (964), Германии (730), России (721), Китае (503), Франции (298), Великобритании (122), Индии (117), и Канаде (99).

Учитывая роль GitLab как платформы для разработки ПО и планирования проектов, а также серьезность проблемы, серверы, уязвимые перед CVE-2023-7028, подвергаются рискам атак на цепочке поставок, раскрытия проприетарного кода, утечки ключей API и так далее.

Те, кто до сих пор не установил патчи, вероятно, уже могут быть скомпрометированы. Поэтому им настоятельно рекомендуется изучить руководство GitLab по реагированию на инциденты, а также поискать признаки компрометации.

Ранее инженеры GitLab поделились следующими индикаторами компрометации:

в gitlab-rails/production_json.log могут присутствовать HTTP-запросы к пути /users/password с params.value.email, состоящим из JSON-массива с несколькими адресами электронной почты;

в gitlab-rails/audit_json.log следует искать записи с meta.caller.id из PasswordsController#create и target_details, состоящие из массива JSON с несколькими адресами электронной почты.

Администраторам, обнаружившим признаки взлома, следует немедленно изменить все учетные данные, токены API, сертификаты и любые другие секреты, а также включить 2ФА для всех учетных записей и установить последние патчи. После этого нужно проверить наличие изменений в среде разработки, включая исходный код и файлы, которые могли быть модифицированы.

Исследователи предупреждают, что более 5300 установок GitLab, которые можно обнаружить в интернете, по-прежнему уязвимы перед проблемой CVE-2023-7028, связанной с захватом учетной записи, о которой разработчики сообщали ранее в этом месяце. Напомним, что CVE-2023-7028 получила максимальные 10 баллов по шкале CVSS и может использоваться для захвата учетной записи путем отправки письма для сброса пароля на произвольный, непроверенный адрес электронной почты. Этот баг является результатом ошибки в процессе верификации email, которая позволяет сбрасывать пароль через дополнительный адрес электронной почты. Уязвимость затрагивает все self-managed экземпляры GitLab Community Edition (CE) и Enterprise Edition (EE), использующих следующие версии: • 16.1 до 16.1.6; • 16.2 до 16.2.9; • 16.3 до 16.3.7; • 16.4 до 16.4.5; • 16.5 до 16.5.6; • 16.6 до 16.6.4; • 16.7 до 16.7.2. Разработчики GitLab сообщали, что устранили проблему в версиях GitLab 16.5.6, 16.6.4 и 16.7.2, а также сделали бэкпорт исправлений в версии 16.1.6, 16.2.9, 16.3.7 и 16.4.5. При этом отмечалось, что ошибка возникла еще в версии 16.1.0, то есть в мае 2023 года. Хотя эта уязвимость не позволяет обойти двухфакторную аутентификацию (2ФА), она представляет значительный риск для любых учетных записей, не защищенных таким образом. Как теперь пишут специалисты ShadowServer, в настоящее время в сети доступны 5379 уязвимых установок GitLab. Большинство из них находятся в США (964), Германии (730), России (721), Китае (503), Франции (298), Великобритании (122), Индии (117), и Канаде (99). Учитывая роль GitLab как платформы для разработки ПО и планирования проектов, а также серьезность проблемы, серверы, уязвимые перед CVE-2023-7028, подвергаются рискам атак на цепочке поставок, раскрытия проприетарного кода, утечки ключей API и так далее. Те, кто до сих пор не установил патчи, вероятно, уже могут быть скомпрометированы. Поэтому им настоятельно рекомендуется изучить руководство GitLab по реагированию на инциденты, а также поискать признаки компрометации. Ранее инженеры GitLab поделились следующими индикаторами компрометации: в gitlab-rails/production_json.log могут присутствовать HTTP-запросы к пути /users/password с params.value.email, состоящим из JSON-массива с несколькими адресами электронной почты; в gitlab-rails/audit_json.log следует искать записи с meta.caller.id из PasswordsController

запостил(а)

Александр

Вернуться назад

Смотрите также

Критический баг в GitLab позволяет захватывать чужие аккаунты - «Новости»

GitLab устраняет баг, связанный с запуском конвейеров от имени других пользователей - «Новости»

GitLab выпустила экстренный патч для критической уязвимости - «Новости»

Хакеры эксплуатируют критическую RCE-уязвимость в GitLab - «Новости»

А что там на главной? )))

Комментарии )))

Комментарии для сайта Cackle

« Апрель 2024 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30