7月10日，GitLab警告稱，其產(chǎn)品GitLab社區(qū)和企業(yè)版本中存在一個嚴(yán)重漏洞，允許攻擊者以任何其他用戶的身份運(yùn)行管道作業(yè)。

GitLab DevSecOps平臺擁有3000多萬注冊用戶，活躍用戶數(shù)僅次于 GitHub，超過50%的財富100強(qiáng)公司都在使用該平臺，包括T-Mobile、高盛、空客、洛克希德·馬丁、英偉達(dá)和瑞銀。

在昨天發(fā)布的安全更新中，修補(bǔ)的漏洞被追蹤為CVE-2024-6385，CVSS評分為9.6分(滿分10分)。它影響所有GitLab CE/EE版本，從15.8到16.11.6，17.0到17.0.4，17.1到17.1.2。

在GitLab尚未披露漏洞某些信息的情況下，攻擊者可以利用該漏洞作為任意用戶觸發(fā)新的管道。GitLab管道是一個持續(xù)集成/持續(xù)部署(CI/CD)系統(tǒng)功能，允許用戶自動并行或順序運(yùn)行流程和任務(wù)，以構(gòu)建、測試或部署代碼更改。

為解決這一嚴(yán)重安全漏洞，GitLab發(fā)布了GitLab社區(qū)和企業(yè)版本17.1.2、17.0.4和16.11.6。該公司強(qiáng)烈建議所有安裝運(yùn)行受以上問題影響的版本盡快升級到最新版本，GitLab.com和GitLab Dedicated已經(jīng)在運(yùn)行補(bǔ)丁版本。

賬戶接管漏洞在攻擊中被積極利用

6月底，GitLab修復(fù)了一個與CVE-2024-6385幾乎相同的漏洞CVE-2024-5655，該漏洞也可能被利用來作為其他用戶運(yùn)行管道。

一個月前，GitLab還修復(fù)了一個高嚴(yán)重性漏洞CVE-2024-4835，該漏洞允許未經(jīng)身份驗證的攻擊者在跨站點(diǎn)腳本(XSS)攻擊中接管帳戶。

5月份，CISA發(fā)出警告，未經(jīng)身份驗證的攻擊者也在積極利用1月份修補(bǔ)的另一個零點(diǎn)擊GitLab漏洞CVE-2023-7028通過重置密碼來劫持帳戶。

今年1月，Shadowserver發(fā)現(xiàn)5300多個易受攻擊的GitLab實(shí)例暴露在網(wǎng)絡(luò)上，目前仍有不到一半(1795個)的實(shí)例可以訪問。

攻擊者以GitLab為目標(biāo)，大概率是因為它托管各種類型的企業(yè)敏感數(shù)據(jù)，包括API密鑰和專有代碼，一旦遭到破壞，托管項目的完整性和機(jī)密性將面臨重大風(fēng)險。

這包括供應(yīng)鏈攻擊，如果威脅行為者在CI/CD(持續(xù)集成/持續(xù)部署)環(huán)境中插入惡意代碼，被破壞組織的存儲庫岌岌可危。

參考來源：

• https://www.bleepingcomputer.com/news/security/gitlab-warns-of-critical-bug-that-lets-attackers-run-pipelines-as-an-arbitrary-user/
• https://www.darkreading.com/application-security/critical-gitlab-bug-threatens-software-development-pipelines