GitLab emitiu um aviso hoje sobre uma vulnerabilidade crítica em suas edições GitLab Community e Enterprise que permite que invasores executem trabalhos de pipeline como qualquer usuário.
A plataforma GitLab DevSecOps, que ostenta mais de 30 milhões de usuários registrados, é utilizada por mais de 50% das empresas Fortune 100, incluindo T-Mobile, Goldman Sachs, Airbus, Lockheed Martin, Nvidia e UBS.
A falha, abordada na atualização de segurança de hoje, é identificada como CVE-2024-6385 e recebeu uma classificação de gravidade de pontuação base CVSS de 9,6 de 10.
Esta vulnerabilidade afeta todas as versões do GitLab CE/EE de 15.8 a 16.11.6, 17.0 a 17.0.4 e 17.1 a 17.1.2. Sob condições específicas e não divulgadas, os invasores podem explorar esta falha para iniciar um novo pipeline como um usuário arbitrário.
Os pipelines do GitLab são um recurso do sistema Integração Contínua/Implantação Contínua (CI/CD) que permite aos usuários executar automaticamente processos e tarefas em paralelo ou sequencialmente para construir, testar ou implantar alterações de código.
Para mitigar esse problema crítico de segurança, o GitLab lançou as versões Community e Enterprise 17.1.2, 17.0.4 e 16.11.6, pedindo a todos os administradores que atualizem suas instalações imediatamente.
A empresa declarou: “Recomendamos fortemente que todas as instalações que executam uma versão afetada pelos problemas descritos abaixo sejam atualizadas para a versão mais recente o mais rápido possível.” O GitLab.com e o GitLab Dedicated já estão operando na versão corrigida.
Falha de aquisição de conta ativamente explorada em ataques
O GitLab abordou uma vulnerabilidade quase idêntica (CVE-2024-5655) no final de junho, que também poderia ser explorada para executar pipelines como outros usuários.
Um mês antes, ele corrigiu uma vulnerabilidade de alta gravidade (CVE-2024-4835) que permitia que invasores não autenticados sequestrassem contas por meio de ataques de script entre sites (XSS). Em maio, a CISA alertou que os agentes de ameaças estavam explorando ativamente outra vulnerabilidade de clique zero do GitLab (CVE-2023-7028) corrigida em janeiro, que permite que invasores não autenticados assumam o controle de contas por meio de redefinições de senha.
Embora o Shadowserver tenha detectado mais de 5.300 instâncias vulneráveis do GitLab expostas on-line em janeiro, menos da metade (1.795) permanecem acessíveis hoje.
Os invasores frequentemente têm como alvo o GitLab devido à hospedagem de dados corporativos confidenciais, como chaves de API e código proprietário, levando a repercussões significativas de segurança após uma violação.
Isso inclui o potencial para ataques à cadeia de suprimentos se código malicioso for inserido em ambientes de CI/CD (Integração Contínua/Implantação Contínua), comprometendo os repositórios da organização.
Fonte: BleepingComputer, Sergiu Gatlan