High-severity GitLab flaw lets attackers take over accounts
2024/05/24 BleepingComputer — GitLab が発表したのは、未認証の脅威アクターからのクロス・サイト・スクリプティング (XSS) 攻撃により、ユーザー・アカウントの乗っ取りにいたる可能性のある、深刻度の高い脆弱性へのパッチ適用である。この脆弱性 CVE-2024-4835 は、VS コード・エディタ (Web IDE) における XSS の欠陥であり、悪意を持って細工されたページを介して、制限された情報の窃取を、脅威アクターたちに許すものである。この攻撃は、認証を必要としない脆弱性の悪用により開始するが、その前提としてユーザーとの対話が必要であるため、攻撃の複雑さは高いものとなる。
GitLab は、「2024年5月22日に、GitLab Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.0.1/16.11.3/16.10.6 をリリースする。これらのバージョンには、バグとセキュリティに関する重要な修正が含まれているため、すべての GitLab インストールを、最新のバージョンにアップグレードすることが、強く推奨される」と述べている。
さらに同社は、Kubernetes エージェント・サーバを経由する CSRF (Cross-Site Request Forgery) のバグや、GitLab Web リソースのロードが妨害されるサービス拒否のバグ (CVE-2024-2874) などの、6件の Medium レベルのセキュリティ欠陥を修正した。
| Vulnerability | Severity |
|---|---|
| 1-click account takeover via XSS leveraging the VS code editor (Web IDE) | High |
| A DOS vulnerability in the ‘description’ field of the runner | Medium |
| CSRF via K8s cluster-integration | Medium |
| Using Set Pipeline Status of a Commit API incorrectly creates a new pipeline | Medium |
| Redos on wiki render API/Page | Medium |
| Resource exhaustion and denial of service with test_report API calls | Medium |
| Guest user can view dependency lists of private projects through job artifacts | Medium |
古いアカウント乗っ取りバグが攻撃で積極的に悪用されている
GitLab は、API キーやプロプライエタリ・コードなどを取り込んだ、各種の機密データをホストしているため、頻繁に脅威アクターたちに狙われる。そして、CI/CD (Continuous Integration/Continuous Deployment) 環境に悪意のコードが挿入され、組織のリポジトリが危険にさられると、乗っ取られた GitLab アカウントにより、サプライチェーン攻撃などの甚大な被害が生じる可能性がある。
2024年5月の初めに CISA が警告したように、GitLab により2024年にパッチが適用された、別のゼロクリック・アカウント・ハイジャックの脆弱性が、いまも脅威者アクターたちにより積極的に悪用されている。この、深刻度の高い脆弱性 CVE-2023-7028 は、未認証の攻撃者によるパスワード・リセットを許し、GitLab アカウントの乗っ取りにいたる可能性が生じている。
2024年1月に Shadowserver がオンラインで公開したのは、5,300以上の脆弱な GitLab インスタンスの発見であるが、現時点においても半数近くの 2,084件がアクセス可能であるという。
また、5月1日に CISAは、この脆弱性 CVE-2023-7028 を Known Exploited Vulnerabilities Catalog に追加し、5月22日までの3週間以内にシステムを保護するよう、米連邦政府機関に対して命じている。
GotLab の VS コード・エディタ (Web IDE) に、XSS 脆弱性 CVE-2024-4835 が発生とのことです。この記事には脅威度に関する情報がありませんが、検索したところ、Tenable が High と評価し、VulDB が CVSS:6.0 と評価していました。よろしければ、CVE-2023-7028 で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.