Уязвимость 0-click в GitLab грозит захватом аккаунта

Уязвимость 0-click в GitLab грозит захватом аккаунта

Уязвимость 0-click в GitLab грозит захватом аккаунта

Вышедшие на прошлой неделе обновления GitLab 16.7.2, 16.6.4 и 16.5.6 устраняют пять уязвимостей, в том числе две критические. Одна из них, оцененная в 10 баллов CVSS, позволяет изменить пароль к аккаунту, не требуя никаких действий от его владельца.

Данная уязвимость (CVE-2023-7028) была привнесена в минувшем мае с выпуском сборки 16.1.0, предоставившей возможность использования вторичного почтового адреса для сброса пароля. Как оказалось, верификация имейл была реализована некорректно, что облегчило подмену.

Проблема перекочевала во все последующие выпуски GitLab CE и EE и грозит захватом аккаунта тем, кто не использует двухфакторную аутентификацию (2FA). Патч включен в состав обновлений 16.7.2, 16.6.4, 16.5.6, а также ввиду серьезности угрозы бэкпортирован в виде сборок 16.1.6, 16.2.9, 16.3.7 и 16.4.5.

Данных об использовании CVE-2023-7028 в атаках, пока нет, хотя PoC-код уже опубликован. Пользователям рекомендуется как можно скорее обновить свои экземпляры GitLab и включить 2FA хотя бы для админ-аккаунтов, а лучше для всех. Версия, используемая GitLab.com, уже пропатчена.

Выпуски 16.7.2, 16.6.4 и 16.5.6 также содержат заплатки для следующих уязвимостей:

  • CVE-2023-5356 (9,6 балла CVSS) — некорректная проверка авторизации, позволяющая выполнять слеш-команды от имени другого пользователя из рабочих сред Slack и Mattermost;
  • CVE-2023-4812 (7,6 балла) — возможность обхода правил владельцев кода (CODEOWNERS) путем изменения ранее одобренного запроса о слиянии;
  • CVE-2023-6955 (6,6 балла) — возможность создания рабочего пространства, ассоциированного с агентом другой группы;
  • CVE-2023-2030 (3,5 балла) — возможность подмены метаданных подписанных коммитов.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

CICADA8 запустила платформу VM для управления уязвимостями в сети

CICADA8 объявила о запуске CICADA8 VM — платформы для управления уязвимостями внутри корпоративной сети. По словам компании, решение ориентировано на крупные организации с филиальной сетью и призвано помочь с автоматическим контролем уязвимостей во внутреннем периметре.

Пара конкретных цифр, которые приводят разработчики: развёртывание в продуктивной среде занимает около 12 минут, сканирование подсети /24 — от 9 минут.

Платформа, по их данным, выдерживает одновременную проверку до 40 тысяч хостов и поддерживает мультитенантность, что должно облегчать масштабирование и снижать нагрузку на сеть заказчика.

CICADA8 VM предлагает гибкие настройки рабочего процесса: можно выстраивать собственные этапы и логику обработки уязвимостей, распределять роли в команде и тонко настраивать схемы сканирования под конкретные задачи бизнеса. Это даёт администраторам возможность адаптировать процесс под внутренние политики и риски.

Платформа интегрируется с CICADA8 ETM и формирует единую экосистему для управления внешними и внутренними рисками. Из единого интерфейса, как утверждают в компании, доступны инструменты для мониторинга уязвимостей, поиска фишинговых сайтов с упоминанием бренда, обнаружения утечек исходного кода и корпоративных данных, а также отслеживания упоминаний об инцидентах в СМИ, соцсетях и даркнете.

Руководитель продуктового портфеля CICADA8 Кирилл Селезнев отмечает, что в будущем в платформу планируют внедрять инструменты на базе искусственного интеллекта для улучшения верификации и приоритизации уязвимостей. По его словам, это должно помочь сократить объём ручной работы и повысить точность оценки рисков.

В сухом остатке — на рынке появилась ещё одна платформа для управления уязвимостями, рассчитанная на большие и распределённые инфраструктуры; насколько она пригодна в реальных условиях, покажут внедрения и независимые тесты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru