美国网络安全和基础设施安全局 (CISA) 贴上标签 影响流行的基于 Git 的存储库管理器的严重漏洞 GitLab 作为已知被利用的漏洞 (KEV)。 此举是为了应对在野外检测到的主动利用尝试,强调了组织迅速应用安全更新的紧迫性。
该严重缺陷(CVSS 评分:10.0)被追踪为 CVE-2023-7028,攻击者可以通过向未经验证的电子邮件地址发送密码重置电子邮件来接管用户帐户。 CISA 的 KEV 目录列出了众所周知的网络安全漏洞,这些漏洞给联邦机构带来重大风险,并被威胁行为者积极利用。
GitLab 最初于 2023 年 1 月披露了该缺陷。该漏洞是在 2023 年 5 月 1 日发布的 16.1.0 版本中作为代码更改的一部分引入的,影响受影响版本中的“所有身份验证机制”。
“此外,启用了双因素身份验证的用户很容易被密码重置,但不会被帐户接管,因为他们需要第二个身份验证因素才能登录,”GitLab 指出 在其咨询中。
安全研究人员表示,成功利用该漏洞的后果可能会很严重。
云安全公司 Mitiga 警告 攻击者控制 GitLab 用户帐户可能会窃取敏感信息、凭据,甚至将恶意代码注入源代码存储库,为供应链攻击铺平道路。
“对于攻击者和内部不良行为者来说,GitLab 代表着其他东西:充满知识产权的组织价值的丰富来源。 因此,了解潜在攻击和滥用的风险对于 GitLab 用户来说非常重要。”Mitiga 解释道。
“获得 CI/CD 管道配置访问权限的攻击者可能会嵌入旨在窃取敏感数据(例如个人身份信息 (PII) 或身份验证令牌)的恶意代码,并将其重定向到对手控制的服务器。
“同样,篡改存储库代码可能涉及插入损害系统完整性的恶意软件或引入后门以进行未经授权的访问。 恶意代码或滥用管道可能会导致数据盗窃、代码中断、未经授权的访问和供应链攻击。”
此后,GitLab 发布了补丁来解决版本 16.5.6、16.6.4 和 16.7.2 中的漏洞,并为版本 16.1.6、16.2.9、16.3.7 和 16.4.5 提供了向后移植。
CISA 决定将 CVE-2023-7028 添加到 KEV 目录中,强调了该缺陷的严重性及其对联邦机构和关键基础设施构成的潜在风险。 根据该机构的指导方针,联邦民事机构必须在 2024 年 5 月 22 日之前应用必要的更新,以确保其网络免受潜在的利用企图。
虽然 CISA 没有提供有关如何积极利用该漏洞的具体细节,但该机构的指令强调了及时修补的重要性,尤其是面对针对软件供应链的日益复杂和持续的威胁。
(拍摄者 莱安德罗·马祖奎尼)
想从行业领导者那里了解有关网络安全和云的更多信息吗? 查看 网络安全与云博览会 在阿姆斯特丹、加利福尼亚和伦敦举行。 该综合活动与其他主要活动同期举行,包括 布洛克X, 数字化转型周, 物联网科技博览会 和 人工智能与大数据博览会。
探索由 TechForge 提供支持的其他即将举行的企业技术活动和网络研讨会 这里。
1714659024
2024-05-02 13:51:18
#CISA #对主动利用的 #GitLab #严重缺陷发出警报
