A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou uma falha crítica que afeta o GitLab ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), devido à exploração ativa em estado selvagem.
Rastreado como CVE-2023-7028 (pontuação CVSS: 10,0), a vulnerabilidade de gravidade máxima pode facilitar o controle da conta enviando e-mails de redefinição de senha para um endereço de e-mail não verificado.
O GitLab, que divulgou detalhes da deficiência no início de janeiro, disse que ela foi introduzida como parte de uma mudança de código na versão 16.1.0 em 1º de maio de 2023.
“Dentro dessas versões, todos os mecanismos de autenticação são impactados”, observou a empresa na época. “Além disso, os usuários que possuem a autenticação de dois fatores ativada são vulneráveis à redefinição de senha, mas não ao controle da conta, pois seu segundo fator de autenticação é necessário para fazer login.”
A exploração bem-sucedida do problema pode ter consequências graves, pois não só permite que um adversário assuma o controle de uma conta de usuário do GitLab, mas também roube informações confidenciais, credenciais e até envenene repositórios de código-fonte com código malicioso, levando a ataques à cadeia de suprimentos.
“Por exemplo, um invasor que obtenha acesso à configuração do pipeline de CI/CD pode incorporar código malicioso projetado para exfiltrar dados confidenciais, como informações de identificação pessoal (PII) ou tokens de autenticação, redirecionando-os para um servidor controlado pelo adversário”, disse a empresa de segurança em nuvem. Mitiga disse em um relatório recente.
“Da mesma forma, a adulteração do código do repositório pode envolver a inserção de malware que comprometa a integridade do sistema ou introduza backdoors para acesso não autorizado. Código malicioso ou abuso do pipeline pode levar ao roubo de dados, interrupção do código, acesso não autorizado e ataques à cadeia de suprimentos”.
A falha foi corrigida nas versões 16.5.6, 16.6.4 e 16.7.2 do GitLab, com os patches também portados para as versões 16.1.6, 16.2.9, 16.3.7 e 16.4.5.
A CISA ainda não forneceu quaisquer outros detalhes sobre como a vulnerabilidade está sendo explorada em ataques no mundo actual. Considerando os usuários ativos, as agências federais são obrigadas a aplicar as correções mais recentes até 22 de maio de 2024 para proteger suas redes.
