CISA bugün saldırganların, şifre sıfırlamaları yoluyla hesapları devralmalarını sağlayan maksimum birim GitLab güvenlik açığından aktif olarak yararlandıkları konusunda uyardı.
GitLab, tescilli kod ve API anahtarları dahil hassas verileri barındırır ve hesap kaçırma önemli bir etkiye sahip olabilir. Başarılı sömürü, CI/CD (sürekli entegrasyon/sürekli dağıtım) ortamlarına kötü amaçlı kod ekleyerek depoları tehlikeye atabilecek tedarik zinciri saldırılarına da yol açabilir.
CVE-2023-7028 olarak izlenen güvenlik kusuru, uzaktan kalma tehdit aktörlerinin, kullanıcı etkileşimi olmadan parolayı değiştirmek için kontrolleri altındaki e-posta hesaplarına şifre sıfırlama e-postaları göndermelerine izin verebilecek uygunsuz bir erişim kontrolü zayıflığından kaynaklanmaktadır.
Saldırganlar, iki faktörlü kimlik doğrulamanın (2FA) etkinleştirildiği kişilerde bu güvenlik açığından yararlanamasa da, hesapların bu ek güvenlik önlemiyle korunmadığı yama sistemleri için önemlidir.
CVE-2023-7028 Hata GitLab topluluğunu ve kurumsal sürümleri etkiler ve GitLab bunu 16.7.2, 16.5.6 ve 16.6.4'te ve 16.1.6, 16.2.9 ve 16.3.7 sürümlerine geri döndü.
Tehdit izleme hizmeti Shadowserver, Ocak ayında çevrimiçi olarak maruz kalan 5.379 savunmasız GitLab örneği bulurken (hafta güvenlik yamaları serbest bırakıldı), şu anda yarısından (2.394) daha azına ulaşılabilir.
CISA, Çarşamba günü bilinen sömürülen güvenlik açıkları kataloğuna CVE-2023-7028 ekledi ve şimdi saldırılarda aktif olarak sömürüldüğünü ve ABD federal kurumlarının 22 Mayıs'a kadar üç hafta içinde sistemlerini güvence altına almasını emrettiğini doğruladı.
ABD Siber Güvenlik Ajansı, bu maksimum ciddiyet GitLab güvenlik hatasından yararlanan devam eden saldırılarla ilgili herhangi bir bilgi paylaşmadı, ancak fidye yazılımı saldırılarında kullanıldığına dair hiçbir kanıt olmadığını doğruladı.
CISA, "Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır." Dedi.
Ajansın KEV kataloğu öncelikle federal ajansları hedef alsa da, GITLAB DevOps platformunu kullanan özel kuruluşlar, saldırıları önlemek için bu güvenlik açığını yamaya öncelik vermelidir.
Henüz yamalı olmayanlar zaten tehlikeye atılmış olabilir, bu yüzden Gitlab'ın olay müdahale rehberini takip etmeli ve mümkün olan en kısa sürede uzlaşma belirtilerini kontrol etmelidirler.
CISA Etiketleri Microsoft SharePoint RCE Hata Aktif olarak sömürüldüğü gibi
Donanım satın almak için her biri 50 ¢ için satılan 15.000'den fazla hacklenmiş Roku hesabı
CISA, yazılım geliştiricilerini ot yolunu geçiş güvenlik açıklarını ayıklamaya çağırıyor
Okta, müşterilere "benzeri görülmemiş" kimlik bilgisi doldurma saldırıları konusunda uyarıyor
Milyonlarca SQL enjeksiyon saldırısı tarafından vurulan WP otomatik WordPress eklentisi
Kaynak: Bleeping Computer