Los administradores de GitLab deberían aplicar pronto el último lote de parches de seguridad dada la nueva vulnerabilidad crítica de omisión de cuenta que se acaba de revelar. Registrado como CVE-2023-7028, el error de gravedad máxima explota un cambio introducido en la versión 16.1.0 en mayo de 2023 que permitía a los usuarios restablecer contraseñas a través de una dirección de correo electrónico secundaria. Los atacantes que se dirigen a instancias vulnerables de GitLab autoadministradas podrían utilizar una solicitud HTTP especialmente diseñada para enviar un correo electrónico de restablecimiento de contraseña a una dirección de correo electrónico no verificada y controlada por el atacante. Un atacante puede completar la toma de control sin la intervención del usuario, y aquellos que no han habilitado la autenticación de dos factores (2FA) son objetivos principales para el crimen oportunista. Los usuarios con 2FA habilitado no son vulnerables a la apropiación de cuentas, a menos que el atacante también tuviera control del autenticador 2FA, pero aún se puede restablecer la contraseña. GitLab no admite 2FA basado en SMS, la implementación más comúnmente secuestrada, solo admite 2FA basado en aplicaciones o emitido a través de un dispositivo WebAuthn, que son mucho más seguros. Sin embargo, hay unas cuantas versiones de las ediciones Community y Enterprise de GitLab que se ven afectadas y requerirán parches lo antes posible: 16.1 a 16.1.5 16.2 a 16.2.8 16.3 a 16.3.6 16.4 a 16.4.4 16.5 a 16.5 .5 16.6 a 16.6.3 16.7 a 16.7.1 Todos los mecanismos de autenticación se ven afectados aquí, dijo GitLab, incluso algunos de aquellos que usan inicio de sesión único (SSO). «Los usuarios sin aplicación de SSO son vulnerables», dijo GitLab en su aviso. «Si su configuración permite el uso de un nombre de usuario y una contraseña además de las opciones de SSO, entonces se verá afectado. Deshabilitar todas las opciones de autenticación de contraseña a través de https://docs.gitlab.com/ee/administration/settings/sign_in_restrictions.html#password -authentication-enabled mitigará la vulnerabilidad para los clientes autogestionados que tienen un proveedor de identidad externo configurado, ya que esto deshabilitará la capacidad de restablecer la contraseña». Afortunadamente, en el momento de la divulgación, no había evidencia que sugiriera que el error se hubiera explotado con éxito, pero como siempre, cuando una vulnerabilidad se hace pública, con un exploit tan simple como este, es probable que se realicen intentos de explotación más amplios y se convierte en una carrera. contra los atacantes para reparar el defecto. Dado que los administradores necesitarán tiempo para aplicar parches, sin omitir paradas de actualización para evitar que se manifiesten problemas de inestabilidad, una mitigación provisional más rápida sería exigir 2FA en todas las cuentas, ya que esto, en la gran mayoría de los casos, evitará intentos de apropiación de cuentas. Idealmente, una vez habilitado, permanecerá habilitado para siempre, especialmente para cuentas clave como aquellas con privilegios de administrador. Solo necesitamos recordar la semana pasada para aprender el valor de habilitar 2FA; incluso los nombres más importantes en seguridad se equivocan con los conceptos básicos de vez en cuando. La toma de control de una cuenta de GitLab podría significar un negocio serio para los atacantes, dada la cantidad de propiedad intelectual y código fuente que pertenecen a las organizaciones que se encuentran en la plataforma DevOps. GitLab dijo que los clientes pueden verificar sus registros en busca de signos de explotación, destacando dos que revelarán cualquier actividad nefasta: Verifique gitlab-rails/production_json.log para ver solicitudes HTTP a la ruta /users/password con params.value.email que consta de una matriz JSON con múltiples direcciones de correo electrónico. Consulte gitlab-rails/audit_json.log para ver si hay entradas con meta.caller_id de PasswordsController#create y target_details que consta de una matriz JSON con varias direcciones de correo electrónico. Desde que GitLab conoció la vulnerabilidad a través de su programa de recompensas por errores, la compañía ha agregado nuevas pruebas para validar la lógica de restablecimiento de contraseña para evitar que ocurran vulnerabilidades similares en el futuro. También inició un proceso de análisis de causa raíz que espera generar acciones de seguimiento adicionales para implementar, así como actualizar su documentación para mejorar el conocimiento del problema para los ingenieros. También se abordó una segunda vulnerabilidad crítica en la misma ronda de parches. A CVE-2023-5356 se le ha asignado una puntuación CVSS de 9,6 y permite a los atacantes ejecutar comandos de barra diagonal en Slack o Mattermost. Si bien no es tan grave como la apropiación de una cuenta, un exploit exitoso podría brindar a los atacantes la oportunidad de agregarse a los canales, exponiendo potencialmente el trabajo secreto de una organización a partes no autorizadas. Las organizaciones con aplicaciones e integraciones personalizadas que utilizan comandos de barra diagonal también podrían filtrar datos confidenciales, según su función, por ejemplo. Otras correcciones menos graves también incluyen: CVE-2023-4812: se ha descubierto un problema en GitLab que afecta a todas las versiones desde 15.3 anteriores a 16.5.5, todas las versiones desde 16.6 anteriores a 16.6.4, todas las versiones desde 16.7 anteriores a 16.7 .2. La aprobación requerida de CODEOWNERS podría omitirse agregando cambios a una solicitud de fusión previamente aprobada. CVE-2023-6955: Existe una vulnerabilidad de control de acceso inadecuado en GitLab Remote Development que afecta a todas las versiones anteriores a 16.5.6, 16.6 anteriores a 16.6.4 y 16.7 anteriores a 16.7.2. Esta condición permite a un atacante crear un espacio de trabajo en un grupo asociado con un agente de otro grupo. CVE-2023-2030: Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde 12.2 anterior a 16.5.6, 16.6 anterior a 16.6.4 y 16.7 anterior a 16.7.2 en el que un atacante podría modificar los metadatos. de compromisos firmados. ®

Source link