Bogue GitLab de gravité maximale qui permet le piratage de compte lors d’une exploitation active | Dmshaulers

Bogue GitLab de gravité maximale qui permet le piratage de compte lors d'une exploitation active

Une vulnérabilité de gravité maximale qui permet aux pirates de pirater des comptes GitLab sans interaction de l’utilisateur est désormais activement exploitée, ont prévenu des responsables du gouvernement fédéral, alors que les données montraient que des milliers d’utilisateurs n’avaient pas encore installé un correctif publié en janvier.

Une modification apportée à GitLab mise en œuvre en mai 2023 a permis aux utilisateurs de lancer des modifications de mot de passe via des liens envoyés à des adresses e-mail secondaires. Cette décision a été conçue pour permettre les réinitialisations lorsque les utilisateurs n’avaient pas accès à l’adresse e-mail utilisée pour créer le compte. En janvier, GitLab révélé que la fonctionnalité permettait aux attaquants d’envoyer des e-mails de réinitialisation aux comptes qu’ils contrôlaient, puis de cliquer sur le lien intégré et de prendre le contrôle du compte.

Bien que les exploits ne nécessitent pas d’interaction de l’utilisateur, les détournements ne fonctionnent que sur les comptes qui ne sont pas configurés pour utiliser l’authentification multifacteur. Même avec MFA, les comptes restent vulnérables aux réinitialisations de mot de passe, mais les attaquants ne parviennent finalement pas à accéder au compte, permettant ainsi au propriétaire légitime de modifier le mot de passe réinitialisé. La vulnérabilité, classée CVE-2023-7028, a un indice de gravité de 10 sur 10.

Mercredi, l’Agence américaine de cybersécurité et de sécurité des infrastructures dit il est conscient de « preuves d’exploitation active » et a ajouté la vulnérabilité à sa liste de vulnérabilités exploitées connues. La CISA n’a fourni aucun détail sur les attaques en nature. Un représentant de GitLab a refusé de fournir des détails sur l’exploitation active de la vulnérabilité.

La vulnérabilité, classée comme faille de contrôle d’accès inappropriée, peut constituer une menace sérieuse. Le logiciel GitLab a généralement accès à plusieurs environnements de développement appartenant aux utilisateurs. En ayant la possibilité d’y accéder et d’introduire secrètement des modifications, les attaquants pourraient saboter des projets ou installer des portes dérobées susceptibles d’infecter toute personne utilisant des logiciels construits dans l’environnement compromis. Un exemple d’attaque similaire contre la chaîne d’approvisionnement est celle qui a frappé SolarWinds en 2021, infectant plus de 18 000 de ses clients. D’autres exemples récents d’attaques contre la chaîne d’approvisionnement sont ici, ici et ici.

Ces types d’attaques sont puissants. En piratant une cible unique soigneusement sélectionnée, les attaquants obtiennent les moyens d’infecter des milliers d’utilisateurs en aval, souvent sans qu’ils aient à entreprendre la moindre action.

Selon les analyses Internet menées par l’organisation de sécurité Shadowserver, plus de 2 100 adresses IP hébergent une ou plusieurs instances GitLab vulnérables.

Serveur fantôme

La plus grande concentration d’adresses IP se trouvait en Inde, suivie par les États-Unis, l’Indonésie, l’Algérie et la Thaïlande.

Serveur fantôme

Le nombre d’adresses IP affichant des instances vulnérables a diminué au fil du temps. Shadowserver montre qu’il y avait plus de 5 300 adresses le 22 janvier, une semaine après la publication du correctif par GitLab.

Serveur fantôme

La vulnérabilité est classée comme une faille de contrôle d’accès inapproprié.

La CISA a ordonné à toutes les agences fédérales civiles qui n’ont pas encore corrigé la vulnérabilité de le faire immédiatement. L’agence n’a pas mentionné MFA, mais tous les utilisateurs de GitLab qui ne l’ont pas déjà fait devraient l’activer, idéalement avec un formulaire conforme. FIDO standard d’industrie.

Les utilisateurs de GitLab doivent également se rappeler que les correctifs ne font rien pour sécuriser les systèmes qui ont déjà été piratés par des exploits. GitLab a publié des conseils sur la réponse aux incidents ici.

Leave a Reply

Your email address will not be published. Required fields are marked *