GitLab: bug critico consente agli aggressori di eseguire pipeline come altri utenti
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 11 Luglio 2024
GitLab: bug critico consente agli aggressori di eseguire pipeline come altri utenti
*è ha consigliato a tutti gli amministratori di aggiornare immediatamente tutte le installazioni.*

GitLab ha avvertito oggi che una vulnerabilità critica nelle edizioni GitLab Community ed Enterprise del suo prodotto consente agli aggressori di eseguire processi di pipeline come qualsiasi altro utente.
La piattaforma GitLab DevSecOps conta oltre 30 milioni di utenti registrati ed è utilizzata da oltre il 50% delle aziende Fortune 100, tra cui T-Mobile, Goldman Sachs, Airbus, Lockheed Martin, Nvidia e UBS.
Il difetto presente nell'aggiornamento di sicurezza di oggi viene registrato come CVE-2024-6385 e ha ricevuto un punteggio di gravità di base CVSS pari a 9,6 su 10.
Ha effetto su tutte le versioni GitLab CE/EE dalla 15.8 alla 16.11.6, dalla 17.0 alla 17.0.4 e dalla 17.1 alla 17.1.2. In determinate circostanze che GitLab deve ancora rivelare, gli aggressori possono sfruttarlo per attivare una nuova pipeline come utente arbitrario.
Le pipeline GitLab sono una funzionalità di sistema di integrazione continua/distribuzione continua (CI/CD) che consente agli utenti di eseguire automaticamente processi e attività in parallelo o in sequenza per creare, testare o distribuire modifiche al codice.
L'azienda ha rilasciato le versioni GitLab Community ed Enterprise 17.1.2, 17.0.4 e 16.11.6 per risolvere questa grave falla di sicurezza e ha consigliato a tutti gli amministratori di aggiornare immediatamente tutte le installazioni.
"Raccomandiamo vivamente che tutte le installazioni che eseguono una versione interessata dai problemi descritti di seguito vengano aggiornate alla versione più recente il prima possibile", avverte. "GitLab.com e GitLab Dedicated stanno già eseguendo la versione con patch."
Difetto di acquisizione dell'account sfruttato attivamente negli attacchi
GitLab ha corretto una vulnerabilità quasi identica (tracciata come CVE-2024-5655) alla fine di giugno, che potrebbe anche essere sfruttata per eseguire pipeline come altri utenti.
Un mese prima, aveva risolto una vulnerabilità di elevata gravità (CVE-2024-4835) che consente agli autori di minacce non autenticate di prendere il controllo degli account negli attacchi cross-site scripting (XSS).
Come avvertito CISA a maggio, gli autori delle minacce stanno sfruttando attivamente anche un’altra vulnerabilità GitLab zero-click (CVE-2023-7028) corretta a gennaio. Questa vulnerabilità consente agli aggressori non autenticati di prendere il controllo degli account tramite la reimpostazione della password.
Sebbene Shadowserver abbia rilevato oltre 5.300 istanze GitLab vulnerabili esposte online a gennaio, meno della metà (1.795) sono ancora raggiungibili oggi.
Gli aggressori prendono di mira GitLab perché ospita vari tipi di dati aziendali sensibili, tra cui chiavi API e codice proprietario, con un impatto significativo sulla sicurezza a seguito di una violazione.
Ciò include attacchi alla catena di fornitura se gli autori delle minacce inseriscono codice dannoso negli ambienti CI/CD (Continuous Integration/Continuous Deployment), compromettendo i repository dell'organizzazione violata.