我们上周报告的 关键零点击 漏洞 CVE-2023-7028 ( CVSS 评分10.0) 是由研究人员在可通过互联网访问的5,300 多个GitLab实例中发现的。尽管该问题已在最新版本的 GitLab 中得到解决,但并非所有用户都成功更新了他们的软件。
该漏洞允许攻击者无需用户交互即可接管帐户。黑客将密码重置电子邮件发送到他们控制的电子邮件地址,这样就可以更改密码并接管帐户。
尽管该漏洞没有提供绕过双因素身份验证 ( 2FA ) 的方法,但它会给不受此附加安全机制保护的帐户带来重大风险。
该问题影响以下版本的 GitLab 社区版和企业版:
- 16.1 至版本 16.1.5;
- 16.2 至版本 16.2.8;
- 16.3 至版本 16.3.6;
- 16.4 至版本 16.4.4;
- 16.5 至版本 16.5.6;
- 16.6 至版本 16.6.4;
- 16.7 至版本 16.7.2。
相应的修复已于 1 月 11 日发布。两周后,威胁监控服务ShadowServer 报告有 5,379 个可通过互联网访问的易受攻击的 GitLab 实例。
基于 GitLab 作为软件开发和项目规划平台的角色以及漏洞的性质,这些服务器面临供应链攻击、专有代码泄露、API密钥泄露和其他恶意活动的风险。
根据 Shadowserver 的数据,大多数易受攻击的服务器位于美国(964 台),其次是德国(730 台)、俄罗斯(721 台)、中国(503 台)、法国(298 台)、英国(122 台)、印度(117 台)和加拿大(99)。
那些尚未安装补丁的人可能已经受到威胁,因此使用 GitLab事件响应指南 并检查是否有受到威胁的迹象至关重要。
GitLab 之前 为安全专业人员分享了以下发现技巧:
- 检查 gitlab-rails/product_json.log 中是否存在对 /users/password 路径的 HTTP 请求,其中 params.value.email 由包含多个电子邮件地址的 JSON 数组组成;
- 检查 gitlab-rails/audit_json.log 中是否有包含 meta.caller.id PasswordsController#create 和 target_details 的条目,其中包含包含多个电子邮件地址的 JSON 数组。
发现受损实例的管理员除了在所有帐户上启用 2FA 并安装安全更新之外,还应更改所有凭据、API 令牌、证书和其他机密。
确保服务器安全后,管理员应检查开发环境的更改,包括源代码和可能被篡改的文件。
迄今为止,尚未确认主动利用 CVE-2023-7028 漏洞的案例,但这不应被视为推迟采取行动的理由。
评论