GitLab a averti aujourd’hui qu’une vulnérabilité critique dans les éditions GitLab Community et Enterprise de son produit permettait aux attaquants d’exécuter des tâches de pipeline comme n’importe quel autre utilisateur.
La plate-forme GitLab DevSecOps compte plus de 30 millions d’utilisateurs enregistrés et est utilisée par plus de 50% des entreprises Fortune 100, notamment T-Mobile, Goldman Sachs, Airbus, Lockheed Martin, Nvidia et UBS.
La faille corrigée dans la mise à jour de sécurité d’aujourd’hui est suivie comme CVE-2024-6385, et elle a reçu un score de gravité de base CVSS de 9,6 sur 10.
Cela affecte toutes les versions GitLab CE/EE de 15.8 à 16.11.6, 17.0 à 17.0.4 et 17.1 à 17.1.2. Dans certaines circonstances que GitLab n’a pas encore divulguées, les attaquants peuvent l’exploiter pour déclencher un nouveau pipeline en tant qu’utilisateur arbitraire.
Les pipelines GitLab sont une fonctionnalité système d’Intégration continue/Déploiement continu (CI / CD) qui permet aux utilisateurs d’exécuter automatiquement des processus et des tâches en parallèle ou séquentiellement pour créer, tester ou déployer des modifications de code.
La société a publié les versions GitLab Community et Enterprise 17.1.2, 17.0.4 et 16.11.6 pour remédier à cette faille de sécurité critique et a conseillé à tous les administrateurs de mettre à niveau toutes les installations immédiatement.
« Nous recommandons fortement que toutes les installations exécutant une version affectée par les problèmes décrits ci-dessous soient mises à niveau vers la dernière version dès que possible », a-t-il averti. « GitLab.com et GitLab Dédié exécute déjà la version corrigée. »
Faille de prise de contrôle de compte activement exploitée dans les attaques
GitLab a corrigé une vulnérabilité presque identique (suivie comme CVE-2024-5655) fin juin, qui pourrait également être exploitée pour exécuter des pipelines en tant qu’autres utilisateurs.
Un mois plus tôt, il corrigeait une vulnérabilité de gravité élevée (CVE-2024-4835) qui permettait à des auteurs de menaces non authentifiés de prendre le contrôle de comptes lors d’attaques de script intersite (XSS).
Comme l’a averti CISA en mai, les acteurs de la menace exploitent également activement une autre vulnérabilité GitLab sans clic (CVE-2023-7028) corrigée en janvier. Cette vulnérabilité permet à des attaquants non authentifiés de détourner des comptes via des réinitialisations de mot de passe.
Alors que Shadowserver a trouvé plus de 5 300 instances GitLab vulnérables exposées en ligne en janvier, moins de la moitié (1 795) sont encore accessibles aujourd’hui.
Les attaquants ciblent GitLab car il héberge divers types de données d’entreprise sensibles, y compris des clés API et du code propriétaire, entraînant un impact significatif sur la sécurité suite à une violation.
Cela inclut les attaques de la chaîne d’approvisionnement si les auteurs de la menace insèrent du code malveillant dans des environnements CI/CD (Intégration continue/Déploiement continu), compromettant les référentiels de l’organisation violée.