Раскрыты детали уязвимости, актуальной для тысяч экземпляров GitLab

Татьяна Никитина 04 Марта 2022 - 17:09

...

Раскрыты детали уязвимости, актуальной для тысяч экземпляров GitLab

Исследователь из Rapid7 выявил в GitLab уязвимость, позволяющую удаленно и без аутентификации получить списки пользователей веб-приложения. Проблема затрагивает многие серверы GitLab, доступные из интернета (таких установок более 50 тысяч). Заплатка включена в состав обновлений 14.8.2, 14.7.4 и 14.6.5, вышедших неделю назад.

Согласно бюллетеню разработчика, уязвимость CVE-2021-4191 привязана к GraphQL API и актуальна для частных экземпляров GitLab ограниченного пользования. Проблема, оцененная как умеренно опасная (5,3 балла CVSS), была привнесена с выпуском версии 13.0; ее наличие подтверждено также для всех сборок в ветках с 14.4 по 14.7 включительно.

В блог-записи Rapid7 указана причина появления уязвимости — отсутствие проверки подлинности при выполнении некоторых запросов к GraphQL API. В результате открылась возможность для сбора данных зарегистрированных пользователей GitLab — их ID, имен, названий учетной записи, адресов email.

Готовые списки юзернеймов злоумышленник может использовать для проведения брутфорс-атак, в том числе перебором возможных комбинаций с ходовыми или украденными паролями. Такие базы неизменно пользуются спросом на подпольном рынке; ими снабжают самоходных зловредов (Mirai, Emotet), они облегчают хакерам проникновение в целевые сети (Fancy Bear, Nobelium).

В Metasploit уже добавлен новый модуль для CVE-2021-4191, и эксперты ожидают всплеск сканов и попыток сбора данных с помощью новой дыры. Поиск по Shodan показал, что в Сети помимо собственных серверов gitlab.com присутствуют более 50 тыс. потенциально уязвимых экземпляров GitLab, с большой концентрацией в Китае.

Кроме CVE-2021-4191, в GitLab пропатчены еще шесть уязвимостей, в том числе одна критическая (CVE-2022-0735; 9,6 балла CVSS). Последняя позволяет в обход авторизации украсть токены регистрации так называемых runner — агентов, выполняющих задачи по интеграции и развертыванию (CI/CD) в рамках автоматизированного процесса доработки исходного кода.

Установка патчей, по словам разработчиков GitLab, вызовет локальный сброс токенов регистрации runner. Если регистрация выполняется автоматически (с помощью скриптов), обновление нарушит этот процесс. Ранее зарегистрированные runner при этом не пострадают.

Помимо установки патчей пользователям GitLab настоятельно рекомендуется заблокировать интернет-доступ к таким серверам и скрыть профили — возможность просмотра должна появляться только после входа в систему.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 21 Июля 2025 - 17:37

macOS iOS Бэкдоры Уязвимости программ Общее Apple

Apple отказалась помещать бэкдор в iCloud — Британии пришлось отступить

В начале года стало известно, что британское правительство втайне потребовало от Apple создать бэкдор — лазейку, через которую можно получить доступ к зашифрованным данным всех пользователей iCloud по всему миру. Да, вопрос ставился именно так — всех пользователей.

Речь шла об обходе новой функции Advanced Data Protection (ADP), которая включает сквозное шифрование почти всей информации в iCloud — так, что даже сама Apple не может её расшифровать. Но в Лондоне, видимо, решили, что им это ни к чему.

Правительство захотело доступ ко всем пользовательским данным iCloud, включая те, что защищены сквозным шифрованием. Проблема в том, что технически это просто невозможно — у Apple нет ключей, а значит, и доступа.

Кроме того, для незашифрованных данных у полиции и спецслужб уже есть законные пути: можно пойти в суд, получить ордер, и тогда Apple, как правило, сотрудничает.

Но вместо этого власти попытались действовать скрытно: использовать закон, по которому Apple не имела права рассказывать о полученном требовании. Даже само судебное разбирательство должно было проходить в тайне.

Apple не могла прямо рассказать о том, что её вынуждают взломать собственную систему защиты. Вместо этого компания сделала ход конём: объявила, что больше не может предоставлять функцию ADP в Великобритании.

«Мы глубоко разочарованы тем, что наши пользователи в Великобритании останутся без защиты, которую даёт Advanced Data Protection. Мы никогда не создавали бэкдоры в наших продуктах и не собираемся это делать», — заявили в Apple.

Формально они ничего не нарушили — просто признали, что ADP в Британии недоступен. Но посыл был предельно ясен: «Нас заставляют, но мы не пойдём на это».

Британские власти долго упирались, но, по данным Financial Times, вмешались США — и, похоже, заставили Лондон отступить.

«Вице-президент США крайне раздражён этой ситуацией. Вопрос нужно решать», — рассказал один из чиновников британского регулятора.

По информации FT, в Вашингтоне прямо дали понять: если Британия будет настаивать на своём, это может сорвать технологические соглашения между странами. В итоге, по словам источников, Министерство внутренних дел Великобритании (Home Office), скорее всего, отступит.

Ни Apple, ни власти США и Британии официально ситуацию не комментируют. Но, судя по всему, пока битву за сквозное шифрование удалось отстоять.