Sommario
GitLab ha recentemente corretto una vulnerabilità ad alta gravità che potrebbe consentire agli attaccanti non autenticati di prendere il controllo degli account utente attraverso attacchi di cross-site scripting (XSS). Questa falla di sicurezza, identificata come CVE-2024-4835, si trova nell’editor di codice VS (Web IDE) di GitLab e permette agli attaccanti di rubare informazioni riservate utilizzando pagine create appositamente.
Dettagli della vulnerabilità
Sebbene l’attacco non richieda autenticazione, è necessaria l’interazione dell’utente, aumentando la complessità dell’attacco. GitLab ha rilasciato le versioni 17.0.1, 16.11.3 e 16.10.6 per le edizioni Community (CE) ed Enterprise (EE) per correggere questa e altre vulnerabilità. Gli amministratori sono fortemente incoraggiati ad aggiornare immediatamente le loro installazioni.
Altre vulnerabilità corrette
Oltre alla falla XSS, GitLab ha risolto altre sei vulnerabilità di media gravità, tra cui:
- CSRF via Kubernetes Agent Server (CVE-2023-7045)
- Bug di Denial-of-Service (DOS) (CVE-2024-2874)
- Creazione errata di pipeline tramite l’API Set Pipeline Status of a Commit
- Redos sull’API di rendering delle wiki
- Esaustione delle risorse e DOS tramite chiamate API di test_report
- Visualizzazione della lista delle dipendenze dei progetti privati da parte di utenti guest tramite artefatti di job
Vecchie vulnerabilità e attacchi attivi
GitLab è un obiettivo popolare per gli attacchi informatici a causa dei dati sensibili che ospita, come chiavi API e codice proprietario. Gli account compromessi possono avere un impatto significativo, inclusi attacchi alla supply chain se gli attaccanti inseriscono codice malevolo nei processi CI/CD.
Un’altra vulnerabilità di massima gravità (CVE-2023-7028), che permette agli attaccanti di prendere il controllo degli account tramite reset delle password, è stata attivamente sfruttata. CISA ha avvisato che questa vulnerabilità è stata aggiunta al Catalogo delle Vulnerabilità Note e Sfruttate, ordinando alle agenzie federali degli Stati Uniti di mettere in sicurezza i loro sistemi entro tre settimane dal 1 maggio.
Raccomandazioni
Per proteggere i propri sistemi, gli amministratori dovrebbero:
- Aggiornare a una delle versioni corrette: 17.0.1, 16.11.3 o 16.10.6.
- Monitorare le interazioni degli utenti: Prestare attenzione a comportamenti sospetti che potrebbero indicare tentativi di sfruttamento della vulnerabilità XSS.
- Implementare misure di sicurezza aggiuntive: Rafforzare le difese contro gli attacchi CSRF e DOS.
