В GitLab EE устранили критическую уязвимость, грозящую угоном аккаунтов

Татьяна Никитина 06 Июня 2022 - 16:31

Домашние пользователи

...

Команда GitLab выпустила патчи для корпоративных систем управления репозиториями кода. Одна из закрытых уязвимостей получила 9,9 балла по шкале CVSS, пользователям рекомендуется установить обновления в кратчайшие сроки.

Проблема CVE-2022-1680 позволяет захватить контроль над аккаунтом пользователя, добавленного в премиум-группу. Эксплойт возможен в тех случаях, когда участникам группы предоставлена возможность единого входа на основе SAML.

Такие настройки в рамках услуг Premium+ обеспечивают обмен данными по протоколу SCIM (System Cloud Identity Management, система междоменного управления аутентификацией). Согласно бюллетеню GitLab, некорректная реализация этого механизма позволяет владельцу премиум-группы добавить участника проекта, указав его имя пользователя и email, затем подменить адрес электронной почты (через SCIM) и угнать, таким образом, аккаунт новобранца, если тот не включил 2FA.

Установив контроль над учетной записью жертвы, злоумышленник сможет также изменить отображаемое имя и юзернейм.

Наличие CVE-2022-1680 подтверждено для всех прежних выпусков GitLab Enterprise Edition (EE), начиная с 11.10; обновления вышли только в поддерживаемых ветках. Сборки 14.9.5, 14.10.4 и 15.0.1 также содержат патчи для других, менее опасных уязвимостей. Некоторые из них актуальны и для GitLab Community Edition (CE):

CVE-2022-1940 — хранимая XSS в интеграции Jira;
CVE-2022-1948 — возможность выполнения стороннего скрипта (XSS) при использовании команд Quick Actions;
CVE-2022-1935 и CVE-2022-1936 — возможность обхода ограничений по IP при наличии действующего токена CI/CD;
CVE-2022-1944 — некорректная авторизация в интерактивном веб-терминале;
CVE-2022-1821 — возможность несанкционированного доступа к списку участников родительской группы;
CVE-2022-1783 — обход запрета на добавление новых участников проектной группы.

Уязвимости в GitLab нередки. Такие дыры ставят под угрозу большое количество пользователей, и разработчики DevOps-платформы стараются латать ее в сжатые сроки, однако патчинг на местах далеко не всегда происходит так же оперативно, что на руку злоумышленникам.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 30 Апреля 2025 - 16:25

Атаки на сайты DDoS-атаки Малый и средний бизнес ГК «Солар»

ГК Солар фиксирует волну атак на сайты малого и среднего бизнеса

В преддверии летнего сезона специалисты сервиса Solar Space (ГК «Солар») фиксируют резкий рост кибератак на сайты санаториев, гостиниц, пансионатов, небольших туроператоров, а также фитнес-клубов и сервисов аренды свадебного декора.

Как отмечают в ГК «Солар», это отражает общую тенденцию увеличения количества атак на веб-ресурсы малого и среднего бизнеса. За ними могут стоять как политически мотивированные хактивисты, так и недобросовестные конкуренты.

С технической точки зрения атаки делятся на два основных типа. Первый — классические DDoS-атаки, цель которых — сделать сайт недоступным для пользователей. Второй — атаки с использованием ботов, создающих фиктивные бронирования и мешающих настоящим клиентам воспользоваться услугами.

Эксперты рекомендуют бизнесу как минимум обеспечить базовую защиту от DDoS и автоматизированной вредоносной активности. Также необходимо организовать постоянный мониторинг, чтобы своевременно оценивать нагрузку на сайт и оперативно реагировать на инциденты.

«Подобные атаки направлены как на нанесение ущерба пользователям, которые могут остаться без нужных услуг, так и на подрыв деятельности самих компаний, теряющих потенциальную прибыль. При этом злоумышленниками могут быть как идеологически мотивированные группы, так и хакеры, действующие по заказу конкурентов», — комментирует Артём Избаенков, директор платформы облачной киберзащиты Solar Space ГК «Солар».

В GitLab EE устранили критическую уязвимость, грозящую угоном аккаунтов

Читайте также