О пяти уязвимостях в системе платформы GitLab, которая помогает организовать совместную разработку ПО, стало известно 12 января 2024 г. Две из обнаруженных уязвимостей критические: CVE-2023-7028 и CVE-2023-5356. Их опасность по шкале CVSS составляет 10 из 10 и 9,8 из 10 баллов соответственно. Обе уязвимости связаны с логическими ошибками и угрожают компаниям, у которых GitLab находится в открытом доступе.

CVE-2023-7028 связана с процессом аутентификации и позволяет отправлять запросы для сброса пароля на произвольные адреса электронной почты без взаимодействия с пользователем. Получая доступ к учетной записи пользователя, злоумышленник может украсть исходные коды или встроить в них вредоносные части. Последствия могут быть серьезными для всей организации, поскольку GitLab обычно используется для хранения кода, ключей API и других конфиденциальных данных. При этом в публичном доступе уже доступен эксплоит, который могут использовать злоумышленники.

Разработчики GitLab уже выпустили патчи для исправления уязвимости в версиях 16.5.6, 16.6.4 и 16.7.2, а также перенесли исправление в версии 16.1.6, 16.2.9, 16.3.7 и 16.4.5. Таким образом, уязвимыми остаются следующие версии: с 16.1 до 16.1.6, с 16.2 до 16.2.9, с 16.3 до 16.3.7, с 16.4 до 16.4.5, с 16.5 до 16.5.6, с 16.6 до 16.6.4, с 16.7 до 16.7.2.

С помощью эксплуатации уязвимости CVE-2023-5356 можно выполнять slash-команды, например удалить или изменить часть кода в GitLab от имени другого пользователя. Для этого необходимо, чтобы GitLab была интегрирована с корпоративными мессенджерами Slack или Mattermost. В Mattermost команды slash позволяют интегрировать внешние приложения в рабочую область, а в Slack они используются как ярлыки для вызова приложений в окне Message Composer.

GitLab исправила ошибку в новых версиях — 16.5.6, 16.6.4 и 16.7.2 По-прежнему уязвимы следующие версии: с 8.13 до 16.5.6, с 16.6 до 16.6.4, с 16.7 до 16.7.2.

Другие уязвимости, обнаруженные в GitLab, являются менее критическими, но при этом могут раскрывать чувствительную информацию. Так, CVE-2023-4812 позволяет обойти утверждение CODEOWNERS путем внесения изменений в ранее одобренный запрос на слияние. CVE-2023-6955 дает злоумышленникам возможность создавать рабочую область в одной группе, связанную с агентом из другой группы. CVE-2023-2030 позволяет менять метаданные подписанных коммитов из-за неправильной проверки подписи.

«Не все компании готовы оперативно переходить на новые версии. Для таких организаций мы можем активировать специальные защитные правила. Поскольку уязвимости затрагивают бизнес-логику приложений, для защиты средствами BI.ZONE WAF используются не массовые, а персонализированные правила, учитывающие специфику конкретной компании. Мы также рекомендуем пользователям настраивать двухфакторную аутентификацию. Поскольку уязвимость дает злоумышленнику возможность отправлять запрос на сброс пароля на случайную электронную почту, двухфакторная аутентификация поможет обезопасить данные», — сказал Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE.

Bi.Zone WAF обеспечивает многоуровневую защиту веб‑приложений и API, противодействует ботнет‑активности и выявляет уязвимости. Сервис может использоваться для защиты веб‑приложений значимых объектов критической информационной инфраструктуры, государственных информационных систем и информационных систем персональных данных.

***

Bi.Zone — компания по управлению цифровыми рисками. Bi.Zone разрабатывает собственные продукты для обеспечения устойчивости ИТ‑инфраструктур любого размера и оказывает услуги по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 г. компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 500 клиентов в 15 странах мира.