Lỗ hổng nghiêm trọng cho phép chiếm đoạt tài khoản người dùng GitLab

- Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã thêm một lỗ hổng nghiêm trọng ảnh hưởng đến GitLab vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).

Lỗ hổng có định danh CVE-2023-7028, điểm nghiêm trọng tối đa (điểm CVSS: 10.0), có thể cho phép tác nhân đe dọa chiếm đoạt tài khoản người dùng bằng cách gửi email đặt lại mật khẩu đến một địa chỉ email chưa được xác minh.

GitLab, đã tiết lộ chi tiết về vấn đề này vào đầu tháng 1 năm nay, cho biết nó đã xuất hiện trong quá trình thay đổi mã nguồn trong phiên bản 16.1.0 vào ngày 1 tháng 5 năm 2023.

Tại thời điểm đó, công ty lưu ý rằng: “Trong những phiên bản này, tất cả các cơ chế xác thực đều bị ảnh hưởng”. "Ngoài ra, người dùng đã bật xác thực hai yếu tố có thể bị đặt lại mật khẩu nhưng không thể chiếm đoạt tài khoản vì yếu tố xác thực thứ hai của họ là bắt buộc để đăng nhập".

Việc khai thác thành công lỗ hổng này có thể gây ra hậu quả nghiêm trọng vì nó không chỉ cho phép kẻ đe dọa chiếm quyền kiểm soát tài khoản người dùng GitLab mà còn đánh cắp thông tin nhạy cảm, thông tin xác thực hoặc “đầu độc” các kho lưu trữ mã nguồn bằng mã độc, dẫn đến các cuộc tấn công chuỗi cung ứng.

Trong một báo cáo gần đây, công ty bảo mật cloud Mitiga cho biết “kẻ tấn công có quyền truy cập vào cấu hình pipeline CI/CD có thể cài cắm mã độc cho phép lấy cắp dữ liệu nhạy cảm, như Thông tin nhận dạng cá nhân (PII) hoặc token xác thực, và chuyển chúng đến máy chủ do kẻ tấn công kiểm soát”.

"Tương tự như vậy, việc giả mạo mã kho lưu trữ có thể liên quan đến việc chèn phần mềm độc hại làm tổn hại đến tính toàn vẹn của hệ thống hoặc phát tán các phần mềm backdoor. Phát tán mã độc hoặc lạm dụng pipeline có thể dẫn đến việc đánh cắp dữ liệu, gây hư hỏng mã, truy cập trái phép và tấn công chuỗi cung ứng”.

Lỗ hổng này đã được giải quyết trong các phiên bản GitLab 16.5.6, 16.6.4 và 16.7.2, đồng thời bản vá cũng được triển khai cho các phiên bản 16.1.6, 16.2.9, 16.3.7 và 16.4.5.

CISA hiện chưa cung cấp bất kỳ chi tiết nào khác liên quan đến việc lỗ hổng bị khai thác trong thực tế. Do tình trạng lạm dụng đang diễn ra, các cơ quan liên bang được yêu cầu áp dụng các bản vá lỗi mới nhất trước ngày 22 tháng 5 năm 2024 để bảo mật mạng của họ.

PV (theo thehackernews.com/tinhhiemmang.vn)