本周四GitLab發(fā)布警告稱GitLab社區(qū)版（CE）和企業(yè)版（EE）中發(fā)現(xiàn)一個(gè)嚴(yán)重的賬戶接管漏洞，攻擊者可以任何其他用戶的身份運(yùn)行管道任務(wù)。GitLab同時(shí)發(fā)布了GitLab Community and Enterprise版本17.1.2、17.0.4和16.11.6以修補(bǔ)該漏洞，并建議所有管理員立即升級所有安裝。

GitLab DevSecOps平臺擁有超過3000萬注冊用戶，被超過50%的財(cái)富100強(qiáng)企業(yè)使用，包括T-Mobile、高盛、空客、洛克希德馬丁、英偉達(dá)和瑞銀等。

GitLab今天發(fā)布的安全更新中修補(bǔ)的漏洞編號為CVE-2024-6385，CVSS嚴(yán)重性評分高達(dá)9.6分（滿分10分）。

該漏洞會影響從15.8到16.11.6、17.0到17.0.4和17.1到17.1.2的所有GitLabCE/EE版本，攻擊者可以利用它來以任意用戶的身份觸發(fā)新的管道。

GitLab管道是一個(gè)持續(xù)集成/持續(xù)部署（CI/CD）系統(tǒng)功能，允許用戶自動并行或順序運(yùn)行流程和任務(wù)，以開發(fā)、測試或部署代碼更改。

“我們強(qiáng)烈建議所有運(yùn)行受下述問題影響的版本的安裝盡快升級到最新版本，”GitLab警告說：“GitLab.com和GitLab Dedicated已經(jīng)在運(yùn)行補(bǔ)丁版本了。”

GitLab接連曝出帳戶接管漏洞

今年上半年GitLab接連曝出賬戶接管漏洞，其中一些已經(jīng)在野外被積極利用。

GitLab在6月下旬剛剛修補(bǔ)了一個(gè)幾乎相同的賬戶接管漏洞（跟蹤為CVE-2024-5655），該漏洞也可被攻擊者利用以其他用戶的身份運(yùn)行管道。

一個(gè)月前，GitLab還修復(fù)了另外一個(gè)高嚴(yán)重性漏洞（CVE-2024-4835），該漏洞使未經(jīng)身份驗(yàn)證的攻擊者能夠通過跨站點(diǎn)腳本（XSS）攻擊接管帳戶。

CISA在5月份曾警告稱，攻擊者也在積極利用1月份修補(bǔ)的另一個(gè)零點(diǎn)擊GitLab漏洞（CVE-2023-7028）。此漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過密碼重置劫持帳戶。

Shadowserver在1月份發(fā)現(xiàn)了超過5300個(gè)易受攻擊的GitLab實(shí)例，但今天仍然可以訪問的只有不到一半（1795個(gè)）。

攻擊者熱衷以GitLab為目標(biāo)，因?yàn)楹笳咄泄芨鞣N類型的敏感企業(yè)數(shù)據(jù)，包括API密鑰和專有代碼，泄露后往往造成重大安全影響。例如，攻擊者可在CI/CD（持續(xù)集成/持續(xù)部署）環(huán)境中插入惡意代碼，從而危及被破壞組織的代碼庫，進(jìn)而實(shí)施供應(yīng)鏈攻擊。