GitLab は、認証されていない攻撃者がクロスサイトスクリプティング(XSS)攻撃でユーザーアカウントを乗っ取るために悪用する可能性のある、深刻度の高い脆弱性にパッチを適用した。
このセキュリティ上の欠陥(CVE-2024-4835として追跡されている)は、VSコードエディタ(Web IDE)のXSSの弱点であり、脅威者は悪意を持って細工されたページを使って制限された情報を盗むことができる。
彼らは認証を必要としない攻撃でこの脆弱性を悪用することができますが、ユーザーとの対話は依然として必要であり、攻撃の複雑さを増加させます。
「本日、GitLab Community Edition(CE)とEnterprise Edition(EE)のバージョン17.0.1、16.11.3、16.10.6をリリースします。
「これらのバージョンには重要なバグとセキュリティの修正が含まれており、インストールされている全てのGitLabを直ちにこれらのバージョンにアップグレードすることを強くお勧めします。
水曜日、同社はまた、Kubernetes Agent Serverを介したクロスサイトリクエストフォージェリ(CSRF)(CVE-2023-7045)や、攻撃者にGitLabウェブリソースのロードを妨害させるサービス拒否のバグ(CVE-2024-2874)など、他の6つの中程度のセキュリティ欠陥を修正した。
| 脆弱性 | 深刻度 |
|---|---|
| VSコードエディタ(Web IDE)を利用したXSSによる1クリックアカウント乗っ取り | 高い |
| ランナーの’description’フィールドにおけるDOS脆弱性 | 中 |
| K8s クラスタ統合による CSRF | 中 |
| コミットAPIのパイプラインステータスの設定を使用すると、誤って新しいパイプラインが作成される | ミディアム |
| wikiレンダーAPI/ページでの再投稿 | ミディアム |
| test_report API 呼び出しによるリソースの枯渇とサービス拒否 | ミディアム |
| ゲストユーザがジョブ成果物を通してプライベートプロジェクトの依存関係リストを閲覧可能 | 中規模 |
古いアカウント乗っ取りバグが攻撃で積極的に悪用されている
GitLabは、APIキーや専有コードを含む様々な種類の機密データをホストしていることで知られているため、よく狙われる。
したがって、乗っ取られたGitLabアカウントは、攻撃者がCI/CD(継続的インテグレーション/継続的デプロイ)環境に悪意のあるコードを挿入し、組織のリポジトリを危険にさらすと、サプライチェーン攻撃など大きな影響を与える可能性がある。
今月初めにCISAが警告したように、脅威者は現在、GitLabが1月にパッチを適用した別のゼロクリック・アカウント・ハイジャックの脆弱性を積極的に悪用している。
CVE-2023-7028として追跡されているこの最大重大度のセキュリティ欠陥は、認証されていない攻撃者がパスワードのリセットによってGitLabアカウントを乗っ取ることを可能にします。
Shadowserverが1月にオンラインで公開された5,300以上の脆弱なGitLabインスタンスを発見したとはいえ、現時点ではまだ半数以下(2,084)がアクセス可能だ。
CISAは5月1日、CVE-2023-7028をKnown Exploited Vulnerabilities Catalogに追加し、米連邦政府機関に対し、5月22日までに3週間以内にシステムを保護するよう命じた。
Comments