​CISA a averti aujourd’hui que les attaquants exploitent activement une vulnérabilité GitLab de gravité maximale qui leur permet de prendre le contrôle de comptes via des réinitialisations de mot de passe.

GitLab héberge des données sensibles, y compris du code propriétaire et des clés API, et le détournement de compte peut avoir un impact significatif. Une exploitation réussie peut également conduire à des attaques de la chaîne d’approvisionnement qui peuvent compromettre les référentiels en insérant du code malveillant dans des environnements CI/CD (Intégration Continue/Déploiement Continu).

Répertoriée sous le numéro CVE-2023-7028, la faille de sécurité est due à une faiblesse de contrôle d’accès inappropriée qui peut permettre aux acteurs de la menace distants non authentifiés d’envoyer des e-mails de réinitialisation de mot de passe aux comptes de messagerie sous leur contrôle pour changer le mot de passe et détourner des comptes ciblés sans interaction de l’utilisateur.

Bien que les attaquants ne puissent pas exploiter cette vulnérabilité pour détourner des comptes sur lesquels l’authentification à deux facteurs (2FA) est activée, il est essentiel de corriger les systèmes sur lesquels les comptes ne sont pas protégés par cette mesure de sécurité supplémentaire.

Le bogue CVE-2023-7028 affecte les éditions GitLab Community et Enterprise, et GitLab l’a corrigé dans 16.7.2, 16.5.6 et 16.6.4 et a rétroporté les correctifs vers les versions 16.1.6, 16.2.9 et 16.3.7.

Alors que le service de surveillance des menaces Shadowserver a trouvé 5 379 instances GitLab vulnérables exposées en ligne en janvier (la semaine de publication des correctifs de sécurité), moins de la moitié (2 394) sont encore accessibles pour le moment.

Instances GitLab vulnérables exposées en ligne

​CISA a ajouté CVE-2023-7028 à son Catalogue de vulnérabilités exploitées connues mercredi, confirmant qu’il est désormais activement exploité dans des attaques et ordonnant aux agences fédérales américaines de sécuriser leurs systèmes dans les trois semaines d’ici le 22 mai.

L’agence américaine de cybersécurité n’a partagé aucune information concernant les attaques en cours exploitant ce bogue de sécurité GitLab de gravité maximale, mais elle a confirmé qu’elle n’avait aucune preuve qu’il était utilisé dans des attaques de ransomware.

« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a déclaré aujourd’hui la CISA.

Bien que le catalogue KEV de l’agence cible principalement les agences fédérales, les organisations privées utilisant la plate-forme GitLab DevOps devraient également donner la priorité à la correction de cette vulnérabilité pour prévenir les attaques.

Ceux qui n’ont pas déjà corrigé peuvent déjà avoir été compromis, ils doivent donc suivre le guide de réponse aux incidents de Gitlab et rechercher les signes de compromission dès que possible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *