В GitLab EE устранили критическую уязвимость, грозящую угоном аккаунтов

В GitLab EE устранили критическую уязвимость, грозящую угоном аккаунтов

В GitLab EE устранили критическую уязвимость, грозящую угоном аккаунтов

Команда GitLab выпустила патчи для корпоративных систем управления репозиториями кода. Одна из закрытых уязвимостей получила 9,9 балла по шкале CVSS, пользователям рекомендуется установить обновления в кратчайшие сроки.

Проблема CVE-2022-1680 позволяет захватить контроль над аккаунтом пользователя, добавленного в премиум-группу. Эксплойт возможен в тех случаях, когда участникам группы предоставлена возможность единого входа на основе SAML.

Такие настройки в рамках услуг Premium+ обеспечивают обмен данными по протоколу SCIM (System Cloud Identity Management, система междоменного управления аутентификацией). Согласно бюллетеню GitLab, некорректная реализация этого механизма позволяет владельцу премиум-группы добавить участника проекта, указав его имя пользователя и email, затем подменить адрес электронной почты (через SCIM) и угнать, таким образом, аккаунт новобранца, если тот не включил 2FA.

Установив контроль над учетной записью жертвы, злоумышленник сможет также изменить отображаемое имя и юзернейм. 

Наличие CVE-2022-1680 подтверждено для всех прежних выпусков GitLab Enterprise Edition (EE), начиная с 11.10; обновления вышли только в поддерживаемых ветках. Сборки 14.9.5, 14.10.4 и 15.0.1 также содержат патчи для других, менее опасных уязвимостей. Некоторые из них актуальны и для GitLab Community Edition (CE):

  • CVE-2022-1940 — хранимая XSS в интеграции Jira;
  • CVE-2022-1948 — возможность выполнения стороннего скрипта (XSS) при использовании команд Quick Actions;
  • CVE-2022-1935 и CVE-2022-1936 — возможность обхода ограничений по IP при наличии действующего токена CI/CD;
  • CVE-2022-1944 — некорректная авторизация в интерактивном веб-терминале;
  • CVE-2022-1821 — возможность несанкционированного доступа к списку участников родительской группы; 
  • CVE-2022-1783 — обход запрета на добавление новых участников проектной группы.

Уязвимости в GitLab нередки. Такие дыры ставят под угрозу большое количество пользователей, и разработчики DevOps-платформы стараются латать ее в сжатые сроки, однако патчинг на местах далеко не всегда происходит так же оперативно, что на руку злоумышленникам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Перми задержали сотрудников салона мобильной связи за фиктивные продажи

В Перми полицейские задержали директора и продавца салона сотовой связи за оформление сим-карт на данные посторонних лиц. Задержанным, 1999 и 2003 годов рождения, избрана мера пресечения в виде подписки о невыезде и надлежащем поведении. Расследование продолжается.

О факте задержания сообщил официальный телеграм-канал УМВД по Пермскому краю. По словам самих обвиняемых, они оформляли сим-карты на третьих лиц ради выполнения плана продаж.

Возбуждено уголовное дело по ч. 3 ст. 272 УК РФ — неправомерный доступ к компьютерной информации, совершённый организованной группой либо с использованием служебного положения. Санкции статьи предусматривают до 5 лет лишения свободы или исправительных работ.

«Полиция напоминает: передача персональных данных посторонним может привести к серьёзным последствиям. Злоумышленники могут использовать такую информацию для оформления кредитов на ваше имя или других противоправных действий. Соблюдайте цифровую гигиену, избегайте сомнительных интернет-ресурсов и не передавайте свои данные даже за вознаграждение», — предупреждает УМВД по Пермскому краю.

Сим-карты, оформленные на подставных лиц, часто используются в различных преступных схемах — от взлома аккаунтов до кражи денег через онлайн-банкинг. Известны случаи, когда на номинальных владельцев таких карт оформляли кредиты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru