7月10日，GitLab警告稱(chēng)，其產(chǎn)品GitLab社區(qū)和企業(yè)版本中存在一個(gè)嚴(yán)重漏洞，允許攻擊者以任何其他用戶(hù)的身份運(yùn)行管道作業(yè)。

GitLab DevSecOps平臺(tái)擁有3000多萬(wàn)注冊(cè)用戶(hù)，活躍用戶(hù)數(shù)僅次于 GitHub，超過(guò)50%的財(cái)富100強(qiáng)公司都在使用該平臺(tái)，包括T-Mobile、高盛、空客、洛克希德·馬丁、英偉達(dá)和瑞銀。

在昨天發(fā)布的安全更新中，修補(bǔ)的漏洞被追蹤為CVE-2024-6385，CVSS評(píng)分為9.6分(滿(mǎn)分10分)。它影響所有GitLab CE/EE版本，從15.8到16.11.6，17.0到17.0.4，17.1到17.1.2。

在GitLab尚未披露漏洞某些信息的情況下，攻擊者可以利用該漏洞作為任意用戶(hù)觸發(fā)新的管道。GitLab管道是一個(gè)持續(xù)集成/持續(xù)部署(CI/CD)系統(tǒng)功能，允許用戶(hù)自動(dòng)并行或順序運(yùn)行流程和任務(wù)，以構(gòu)建、測(cè)試或部署代碼更改。

為解決這一嚴(yán)重安全漏洞，GitLab發(fā)布了GitLab社區(qū)和企業(yè)版本17.1.2、17.0.4和16.11.6。該公司強(qiáng)烈建議所有安裝運(yùn)行受以上問(wèn)題影響的版本盡快升級(jí)到最新版本，GitLab.com和GitLab Dedicated已經(jīng)在運(yùn)行補(bǔ)丁版本。

賬戶(hù)接管漏洞在攻擊中被積極利用

6月底，GitLab修復(fù)了一個(gè)與CVE-2024-6385幾乎相同的漏洞CVE-2024-5655，該漏洞也可能被利用來(lái)作為其他用戶(hù)運(yùn)行管道。

一個(gè)月前，GitLab還修復(fù)了一個(gè)高嚴(yán)重性漏洞CVE-2024-4835，該漏洞允許未經(jīng)身份驗(yàn)證的攻擊者在跨站點(diǎn)腳本(XSS)攻擊中接管帳戶(hù)。

5月份，CISA發(fā)出警告，未經(jīng)身份驗(yàn)證的攻擊者也在積極利用1月份修補(bǔ)的另一個(gè)零點(diǎn)擊GitLab漏洞CVE-2023-7028通過(guò)重置密碼來(lái)劫持帳戶(hù)。

今年1月，Shadowserver發(fā)現(xiàn)5300多個(gè)易受攻擊的GitLab實(shí)例暴露在網(wǎng)絡(luò)上，目前仍有不到一半(1795個(gè))的實(shí)例可以訪(fǎng)問(wèn)。

攻擊者以GitLab為目標(biāo)，大概率是因?yàn)樗泄芨鞣N類(lèi)型的企業(yè)敏感數(shù)據(jù)，包括API密鑰和專(zhuān)有代碼，一旦遭到破壞，托管項(xiàng)目的完整性和機(jī)密性將面臨重大風(fēng)險(xiǎn)。

這包括供應(yīng)鏈攻擊，如果威脅行為者在CI/CD(持續(xù)集成/持續(xù)部署)環(huán)境中插入惡意代碼，被破壞組織的存儲(chǔ)庫(kù)岌岌可危。

參考來(lái)源：

• https://www.bleepingcomputer.com/news/security/gitlab-warns-of-critical-bug-that-lets-attackers-run-pipelines-as-an-arbitrary-user/
• https://www.darkreading.com/application-security/critical-gitlab-bug-threatens-software-development-pipelines