GitLab ha reparado una vulnerabilidad crítica que permite a los atacantes ejecutar trabajos de pipeline como cualquier otro usuario, recomendando que los usuarios actualicen inmediatamente. Un Pipeline de GitLab, parte del sistema de Integración Continua/Implementación Continua (CI/CD) de GitLab, automatiza el proceso de creación, prueba e implementación de código. Identificada como CVE-2024-6385, la falla podría provocar un compromiso de la cadena de suministro, violaciones de datos o un incidente de denegación de servicio, advirtió el aviso. La falla recibió una calificación de gravedad CVSS de 9,6 sobre 10 y fue descubierta por «yvvdwf» a través del programa de recompensas por errores HackerOne de GitLabs. CVE-2024-6385 permitiría a un atacante «en determinadas circunstancias» activar una nueva canalización, acceder potencialmente a repositorios privados y manipular, robar o exfiltrar código y datos. No hay evidencia de que se haya utilizado en la naturaleza hasta ahora, y GitLab dijo que GitLab.com y GitLab Dedicated ya están ejecutando la versión parcheada. La plataforma GitLab DevSecOps tiene más de 30 millones de usuarios registrados y es utilizada por más de la mitad de las empresas Fortune 100, incluidas T-Mobile, Goldman Sachs, Airbus, Lockheed Martin, Nvidia y UBS. La Community Edition (CE) es una versión de código abierto que se puede utilizar de forma gratuita, mientras que la Enterprise Edition (EE) es una versión de pago con funciones adicionales. Reciba nuestras últimas noticias,Actualizaciones de la industria, recursos destacados y más. Regístrese hoy para recibir nuestro informe GRATUITO sobre ciberdelito y seguridad de IA, actualizado recientemente para 2024. ¿Qué versiones de GitLab están en riesgo? CVE-2024-6385 afecta a las versiones 15.8 anteriores a la 16.11.6, 17.0 anteriores a la 17.0.4 y 17.1 anteriores a la 17.1.2 de GitLab CE/EE. El problema se resuelve actualizando a las versiones 16.11.6, 17.0.4 o 17.1.2, afirmó la empresa. «Estas versiones contienen importantes correcciones de errores y de seguridad, y recomendamos encarecidamente que todas las instalaciones de GitLab se actualicen a una de estas versiones de inmediato», señaló GitLab en su aviso. Como lo implica su puntuación CVSS, la vulnerabilidad debe tomarse muy en serio, según Ray Kelly, miembro del Grupo de Integridad de Software de Synopsys. «En el acelerado mundo DevSecOps de hoy, cualquier mención de una vulnerabilidad en la funcionalidad de la canalización puede sin duda poner los pelos de punta», dijo Kelly a ITPro. «Una vez que una canalización se ve comprometida, el software puede ser alterado con malware, puertas traseras o utilizado para robar información privada de las organizaciones. Esto es difícil de detectar porque los análisis de seguridad generalmente se realizan en una etapa anterior del proceso SDLC». Esta última vulnerabilidad es similar a otra falla de GitLab, CVE-2024-5655, nuevamente con una puntuación CVSS de 9,6, que fue parcheada a fines del mes pasado. Esta vulnerabilidad también permitió a un atacante ejecutar pipelines como otros usuarios. De manera similar, otra falla, CVE-2023-7028, fue revelada y parcheada en enero después de ser atacada por atacantes. Esta vulnerabilidad en particular recibió la puntuación máxima de CVSS de 10. «Dadas las recientes violaciones de alto perfil en la cadena de suministro, está claro que las organizaciones necesitan parchear las vulnerabilidades de inmediato para evitar que los actores de amenazas comprometan su software», dijo Kelly. «Además, introducir el escaneo de seguridad dentro del pipeline puede ayudar a detectar problemas antes de que se implementen».