Zraniteľnosť služby Gitlab
Dňa 31.3.2022 spoločnosť Gitlab objavila kritickú zraniteľnosť v ich službe, ktorá má CVSSv3 skóre 9.1. Zraniteľnosť spočíva v ukladaní prednastaveného hesla v zdrojovom kóde.
Opis činnosti:
CVE-2022-1162
Pri registrácii používateľa pomocou OmniAuth mu systém priradí fixné heslo zo zdrojového kódu, pomocou ktorého môžu útočníci neoprávnene pristúpiť k jeho účtu. Zraniteľnosť sa týka oboch vydaní služby Gitlab, čiže Gitlab CE (community edition) a Gitlab EE (enterprise edition).
OmniAuth je súčasť poskytujúca možnosť prihlásenia používateľov pomocou iných populárnych služieb, ako napríklad Google, Twitter, Bitbucket, Salesforce, či Github.
Zraniteľné systémy:
- Verzie 14.7 – 14.7.6
- Verzie 14.8 – 14.8.4
- Verzie 14.9 – 14.9.1
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Kompromitácia používateľských účtov
Odporúčania:
Bezodkladná aktualizácia Gitlab služby aspoň na nasledovné verzie:
- 14.7.7
- 14.8.5
- 14.9.2
Spoločnosť taktiež vydala kontrolný script, pomocou ktorého je možné overiť, či bola konkrétna služba kompromitovaná.
Po nájdení kompromitovaných účtov je potrebné, aby na nich administrátor zresetoval heslá.
Odkazy:
https://media.cert.europa.eu/static/SecurityAdvisories/2022/CERT-EU-SA2022-024.pdf
https://thehackernews.com/2022/04/gitlab-releases-patch-for-critical.html
https://securityaffairs.co/wordpress/129730/hacking/cve-2022-1162-flaw-gitlab.html