Zraniteľnosť služby Gitlab

Dňa 31.3.2022 spoločnosť Gitlab objavila kritickú zraniteľnosť v ich službe, ktorá má CVSSv3 skóre 9.1. Zraniteľnosť spočíva v ukladaní prednastaveného hesla v zdrojovom kóde.  

Opis činnosti:

CVE-2022-1162

Pri registrácii používateľa pomocou OmniAuth mu systém priradí fixné heslo zo zdrojového kódu, pomocou ktorého môžu útočníci neoprávnene pristúpiť k jeho účtu. Zraniteľnosť sa týka oboch vydaní služby Gitlab, čiže Gitlab CE (community edition) a Gitlab EE (enterprise edition).

OmniAuth je súčasť poskytujúca možnosť prihlásenia používateľov pomocou iných populárnych služieb, ako napríklad Google, Twitter, Bitbucket, Salesforce, či Github.

Zraniteľné systémy:

  • Verzie 14.7 – 14.7.6
  • Verzie 14.8 – 14.8.4
  • Verzie 14.9 – 14.9.1

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Kompromitácia používateľských účtov

Odporúčania:

Bezodkladná aktualizácia Gitlab služby aspoň na nasledovné verzie:

  • 14.7.7
  • 14.8.5
  • 14.9.2

Spoločnosť taktiež vydala kontrolný script, pomocou ktorého je možné overiť, či bola konkrétna služba kompromitovaná.

Po nájdení kompromitovaných účtov je potrebné, aby na nich administrátor zresetoval heslá.

Odkazy:

https://media.cert.europa.eu/static/SecurityAdvisories/2022/CERT-EU-SA2022-024.pdf

https://thehackernews.com/2022/04/gitlab-releases-patch-for-critical.html

https://securityaffairs.co/wordpress/129730/hacking/cve-2022-1162-flaw-gitlab.html