La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó esta semana una vulnerabilidad que se reveló por primera vez en enero en la plataforma de código abierto GitLab a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que provocó una avalancha de advertencias que instan a los usuarios del servicio a aplicar. parches disponibles inmediatamente. Rastreada como CVE-2023-7028 y descubierta a través del programa de recompensas por errores ejecutado por HackerOne de GitLab, la falla existe en las ediciones GitLab Community y Enterprise. Es una vulnerabilidad de control de acceso inadecuado que permite a un atacante enviar un correo electrónico de restablecimiento de contraseña a un correo electrónico no verificado, lo que lleva a la apropiación de la cuenta. CISA dijo que, en el momento de la publicación, se desconocía si se había utilizado como factor en algún ataque de ransomware. La adición de una vulnerabilidad al catálogo KEV obliga a los organismos gubernamentales de EE. UU. a parchearla inmediatamente si se ven afectados (tienen hasta finales de mayo para hacerlo), pero también sirve como una guía útil y una advertencia oportuna para las empresas y otras organizaciones sobre lo que las nuevas vulnerabilidades son más impactantes y, por lo tanto, valiosas para los ciberdelincuentes y otros actores de amenazas. CVE-2023-7028 afecta a todas las versiones de GitLab C/EE desde 16.1 anterior a 16.1.6, 16.2 anterior a 16.2.9, 16.3 anterior a 16.3.7, 16.4 anterior a 16.4.5, 16.5 anterior a 16.5.6, 16.6 antes de 16.6.4 y 16.7 antes de 16.7.2. Los usuarios deben actualizar a las versiones 16.7.2, 16.6.4 y 16.5.6 inmediatamente. «Estamos dedicados a garantizar que todos los aspectos de GitLab que están expuestos a los clientes o que alojan datos de clientes cumplan con los más altos estándares de seguridad», escribió Greg Meyers de GitLab en el aviso de divulgación de la organización. «Como parte de mantener una buena higiene de seguridad, se recomienda encarecidamente que todos los clientes actualicen a la última versión de seguridad para su versión compatible». Más allá de aplicar la solución, es posible que las organizaciones deseen considerar habilitar la autenticación multifactor (MFA) en sus cuentas de GitLab y rotar todos los secretos almacenados en GitLab, incluidas las credenciales y contraseñas de cuentas, tokens de interfaz de programación de aplicaciones y certificados. Puede encontrar más orientación aquí. Adam Pilton, consultor de seguridad cibernética de CyberSmart y ex investigador de delitos cibernéticos de la policía de Dorset, dijo: «Esta es una vulnerabilidad preocupante, ya que el impacto potencial de la explotación puede ser muy amplio, y no solo se verá afectado el negocio de la víctima, sino también potencialmente quienes trabajan estrechamente con ellos. “La noticia positiva es que hay un parche disponible que aborda esta vulnerabilidad e insto a todos los afectados a que lo apliquen lo antes posible. «Me gustaría destacar al héroe de la historia, y una vez más es MFA», dijo. “Aquellos usuarios que implementaron MFA habrían estado protegidos de cualquier ciberdelincuente que quisiera acceder a su cuenta, ya que la autenticación adicional requerida habría impedido el inicio de sesión exitoso. «Debemos aprender lecciones de cada ataque, y las lecciones aprendidas de esta vulnerabilidad son habilitar MFA, asegurarnos de mantener parches regulares y asegurarnos de exigir fuertes medidas de seguridad cibernética dentro de su cadena de suministro», dijo Pilton. Retraso en la aplicación de parches Una preocupación para otros miembros de la comunidad de seguridad fue el hecho de que, aunque CVE-2023-7028 fue parcheado en enero de 2024, todavía hay un número significativo de instancias vulnerables de GitLab en libertad (según datos de ShadowServer correctos al 1 de mayo, más de 300 en Estados Unidos, China y Rusia, más de 200 en Alemania, 70 en Francia y 40 en el Reino Unido. «El exploit también plantea la cuestión de la aplicación de parches, que sabemos que sigue siendo un gran desafío para muchas organizaciones», dijo el vicepresidente de estrategia de Hackuity, Sylvain Cortés. “El hecho es que se lanzó un parche para esta falla el 11 de enero, pero más de mil configuraciones de GitLab aún permanecen expuestas en línea. “La prioridad para los equipos es asegurarse de que están al tanto de los problemas que necesitan solucionar primero. Las clasificaciones de gravedad son importantes, pero los equipos de seguridad deben priorizar las vulnerabilidades que representan el mayor riesgo para su entorno”.