CISA adiciona falha do GITLAB ao catálogo de vulnerabilidades conhecidas

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA)  adicionou uma vulnerabilidade de controle de acesso impróprio das edições GitLab Community e Enterprise ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) .

O problema, rastreado como CVE-2023-7028  (pontuação CVSS: 10,0), é um roubo de conta por meio de redefinição de senha. A falha pode ser explorada para sequestrar uma conta sem qualquer interação.

“Um problema foi descoberto no GitLab CE/EE afetando todas as versões de 16.1 antes de 16.1.6, 16.2 antes de 16.2.9, 16.3 antes de 16.3.7, 16.4 antes de 16.4.5, 16.5 antes de 16.5.6, 16.6 antes de 16.6.4 e 16.7 antes de 16.7.2 em que e-mails de redefinição de senha de conta de usuário poderiam ser entregues a um endereço de e-mail não verificado.” lê o  comunicado  publicado pelo GitLab.

A falha afeta as seguintes versões:

• 16.1 antes de 16.1.5
• 16.2 antes de 16.2.8
• 16.3 antes de 16.3.6
• 16.4 antes de 16.4.4
• 16.5 antes de 16.5.6
• 16.6 antes de 16.6.4
• 16.7 antes de 16.7.2

O GitLab corrigiu a falha com as  versões  16.7.2, 16.5.6 e 16.6.4. A empresa fez backport de patches de segurança para 16.1.6, 16.2.9 e 16.3.7.

Recomenda-se que os clientes autogerenciados revisem seus logs para verificar possíveis tentativas de explorar esta vulnerabilidade:

• Verifique gitlab-rails/production_json.log para solicitações HTTP para o /users/password caminho com params.value.email que consiste em uma matriz JSON com vários endereços de e-mail.
• Verifique gitlab-rails/audit_json.log para entradas com meta.caller.id de PasswordsController#create e target_details consistindo em uma matriz JSON com vários endereços de e-mail.

Pesquisadores do ShadowServer ainda relatam  milhares de instâncias expostas online que são vulneráveis ​​a essa falha, a maioria delas nos EUA, Alemanha e Rússia.

De acordo com  a Diretiva Operacional Vinculativa (BOD) 22-01: Redução do Risco Significativo de Vulnerabilidades Exploradas Conhecidas , as agências da FCEB têm de resolver as vulnerabilidades identificadas até à data prevista para proteger as suas redes contra ataques que exploram as falhas do catálogo.

Os especialistas recomendam também que as organizações privadas revejam o  Catálogo  e resolvam as vulnerabilidades nas suas infra-estruturas.

A CISA ordena que as agências federais corrijam esta vulnerabilidade até 22 de maio de 2024.

Por Pierluigi Paganini