我们上周报告的 关键零点击 漏洞 CVE-2023-7028 （ CVSS 评分10.0） 是由研究人员在可通过互联网访问的5,300 多个GitLab实例中发现的。尽管该问题已在最新版本的 GitLab 中得到解决，但并非所有用户都成功更新了他们的软件。

该漏洞允许攻击者无需用户交互即可接管帐户。黑客将密码重置电子邮件发送到他们控制的电子邮件地址，这样就可以更改密码并接管帐户。

尽管该漏洞没有提供绕过双因素身份验证 ( 2FA ) 的方法，但它会给不受此附加安全机制保护的帐户带来重大风险。

该问题影响以下版本的 GitLab 社区版和企业版：

• 16.1 至版本 16.1.5；
• 16.2 至版本 16.2.8；
• 16.3 至版本 16.3.6；
• 16.4 至版本 16.4.4；
• 16.5 至版本 16.5.6；
• 16.6 至版本 16.6.4；
• 16.7 至版本 16.7.2。

相应的修复已于 1 月 11 日发布。两周后，威胁监控服务ShadowServer 报告有 5,379 个可通过互联网访问的易受攻击的 GitLab 实例。

基于 GitLab 作为软件开发和项目规划平台的角色以及漏洞的性质，这些服务器面临供应链攻击、专有代码泄露、API密钥泄露和其他恶意活动的风险。

根据 Shadowserver 的数据，大多数易受攻击的服务器位于美国（964 台），其次是德国（730 台）、俄罗斯（721 台）、中国（503 台）、法国（298 台）、英国（122 台）、印度（117 台）和加拿大（99）。

那些尚未安装补丁的人可能已经受到威胁，因此使用 GitLab事件响应指南 并检查是否有受到威胁的迹象至关重要。

GitLab 之前 为安全专业人员分享了以下发现技巧：

• 检查 gitlab-rails/product_json.log 中是否存在对 /users/password 路径的 HTTP 请求，其中 params.value.email 由包含多个电子邮件地址的 JSON 数组组成；
• 检查 gitlab-rails/audit_json.log 中是否有包含 meta.caller.id PasswordsController#create 和 target_details 的条目，其中包含包含多个电子邮件地址的 JSON 数组。

发现受损实例的管理员除了在所有帐户上启用 2FA 并安装安全更新之外，还应更改所有凭据、API 令牌、证书和其他机密。

确保服务器安全后，管理员应检查开发环境的更改，包括源代码和可能被篡改的文件。

迄今为止，尚未确认主动利用 CVE-2023-7028 漏洞的案例，但这不应被视为推迟采取行动的理由。