GitLab, kimlik doğrulanmamış saldırganların siteler arası komut dosyası (XSS) saldırılarında kullanıcı hesaplarını devralmak için kullanabileceği yüksek şiddetli bir kırılganlığı yamaladı.
Güvenlik kusuru (CVE-2024-4835 olarak izlendi), tehdit aktörlerinin kötü niyetli sayfaları kullanarak kısıtlı bilgileri çalmasına izin veren VS kod düzenleyicisinde (Web IDE) bir XSS zayıflığıdır.
Kimlik doğrulama gerektirmeyen saldırılarda bu güvenlik açığından yararlanabilseler de, kullanıcı etkileşimine hala ihtiyaç vardır ve saldırıların karmaşıklığını artırır.
Gitlab, "Bugün, GITLAB Topluluğu Sürümü (CE) ve Enterprise Edition (EE) için 17.0.1, 16.11.3 ve 16.10.6 sürümlerini yayınlıyoruz." Dedi.
"Bu sürümler önemli hata ve güvenlik düzeltmeleri içeriyor ve tüm GitLab kurulumlarının bu sürümlerden birine hemen yükseltilmesini şiddetle tavsiye ediyoruz."
Çarşamba günü, şirket ayrıca Kubernetes Ajan Sunucusu (CVE-2023-7045) aracılığıyla sahalar arası bir talep (CSRF) ve saldırganların bozulmasına izin verebilecek bir hizmet reddi hatası da dahil olmak üzere altı diğer orta yüzlü güvenlik kusuru düzeltildi. GitLab Web kaynaklarının yüklenmesi (CVE-2024-2874).
GitLab, API anahtarları ve tescilli kod da dahil olmak üzere çeşitli hassas veri türlerine ev sahipliği yaptığı bilindiğinden popüler bir hedeftir.
Bu nedenle, saldırganlar CI/CD (sürekli entegrasyon/sürekli dağıtım) ortamlarına kötü amaçlı kod eklerse, bir kuruluşun depolarını tehlikeye atarak, tedarik zinciri saldırıları da dahil olmak üzere önemli bir etkiye sahip olabilir.
CISA'nın bu ayın başlarında uyardığı gibi, tehdit aktörleri şimdi Ocak ayında GITLAB tarafından yamalanan güvenlik açığını kaçırmak için aktif olarak başka bir sıfır tıklama hesabını kullanıyor.
CVE-2023-7028 olarak izlenen bu maksimum şiddet güvenlik kusuru, kimlik doğrulanmamış saldırganların parola sıfırlamaları yoluyla GITLAB hesaplarını devralmasına izin verir.
Shadowserver, Ocak ayında çevrimiçi olarak maruz kalan 5.300'den fazla savunmasız Gitlab örneğini keşfetse de, şu anda yarısından az (2.084) hala ulaşılabilir.
CISA, 1 Mayıs'ta bilinen sömürülen güvenlik açıkları kataloğuna CVE-2023-7028 ekledi ve ABD federal ajanslarına 22 Mayıs'a kadar üç hafta içinde sistemlerini güvence altına almalarını emretti.
Microsoft, 2024'ün ikinci yarısında VBScript'i öldürmeye başlayacak
GhostEngine Madencilik Saldırıları, savunmasız sürücüleri kullanarak EDR güvenliğini öldürdü
Cisa, Gitlab hesabının devralma hatasının saldırılarda aktif olarak sömürüldüğünü söylüyor
Gitlab, Github tarzı CDN Kusurundan etkilenen kötü amaçlı yazılım barındırma sağlar
Yeni Darcula Kimlik Yardım Hizmeti iPhone kullanıcılarını iMessage aracılığıyla hedefliyor
Kaynak: Bleeping Computer