أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) هذا الأسبوع ثغرة أمنية تم الكشف عنها لأول مرة في يناير في جيتلاب منصة مفتوحة المصدر لها نقاط الضعف المستغلة المعروفة (KEV)، مما أدى إلى موجة من التحذيرات التي تحث مستخدمي الخدمة على تطبيق التصحيحات المتاحة على الفور.
تتبع باسم CVE-2023-7028 واكتشفت من خلال برنامج مكافآت الأخطاء HackerOne الذي تديره GitLab، الخلل موجود في GitLab Community وEnterprise Editions.
إنها ثغرة أمنية غير مناسبة للتحكم في الوصول والتي تمكن المهاجم من تشغيل بريد إلكتروني لإعادة تعيين كلمة المرور إلى بريد إلكتروني لم يتم التحقق منه، مما يؤدي إلى الاستيلاء على الحساب. وقالت CISA إنه لم يكن معروفًا، في وقت النشر، ما إذا كان قد تم استخدامه كعامل في أي هجمات ببرامج الفدية.
إن إضافة الثغرة الأمنية إلى كتالوج KEV يُلزم الهيئات الحكومية الأمريكية بتصحيحها على الفور إذا تأثرت – وأمامها مهلة حتى وقت لاحق من شهر مايو للقيام بذلك – ولكنها تعمل أيضًا كدليل مفيد وتحذير في الوقت المناسب للشركات والمنظمات الأخرى حول ما يجب فعله. تعد نقاط الضعف الجديدة أكثر تأثيرًا، وبالتالي فهي ذات قيمة لمجرمي الإنترنت والجهات الفاعلة الأخرى في مجال التهديد.
يؤثر CVE-2023-7028 على جميع إصدارات GitLab C/EE بدءًا من 16.1 قبل 16.1.6، و16.2 قبل 16.2.9، و16.3 قبل 16.3.7، و16.4 قبل 16.4.5، و16.5 قبل 16.5.6، و16.6 قبل 16.6.4 و16.7 قبل 16.7.2. يجب على المستخدمين التحديث إلى الإصدارات 16.7.2 و16.6.4 و16.5.6 على الفور.
كتب جريج مايرز من GitLab: “نحن ملتزمون بضمان أن جميع جوانب GitLab التي يتم كشفها للعملاء أو أن بيانات العميل المضيف تخضع لأعلى معايير الأمان”. في إشعار الإفصاح الخاص بالمنظمة. “كجزء من الحفاظ على النظافة الأمنية الجيدة، يوصى بشدة بأن يقوم جميع العملاء بالترقية إلى أحدث إصدار أمني للإصدار المدعوم الخاص بهم.”
بالإضافة إلى تطبيق الإصلاح، قد ترغب المؤسسات في التفكير في تمكين المصادقة متعددة العوامل (MFA) عبر حسابات GitLab الخاصة بها، وتدوير جميع الأسرار المخزنة في GitLab، بما في ذلك بيانات الاعتماد وكلمات مرور الحساب والرموز المميزة لواجهة برمجة التطبيقات والشهادات. يمكن العثور على المزيد من الإرشادات هنا.
آدم بيلتون، مستشار الأمن السيبراني في سايبر سمارتوقال محقق سابق في الجرائم الإلكترونية في شرطة دورست: “هذه ثغرة أمنية مثيرة للقلق لأن التأثير المحتمل للاستغلال يمكن أن يكون بعيدًا وواسعًا، حيث لا تتأثر أعمال الضحية فحسب، بل من المحتمل أيضًا أن يتأثر أولئك الذين يعملون معهم بشكل وثيق”.
“الخبر الإيجابي هو أن هناك تصحيحًا متاحًا لمعالجة هذه الثغرة الأمنية، وأحث جميع المتأثرين على تطبيق هذا في أقرب وقت ممكن.
وقال: “أود أن أسلط الضوء على بطل القصة، ومرة أخرى هو MFA”. “كان من الممكن أن يكون هؤلاء المستخدمون الذين طبقوا MFA محميين من أي مجرم إلكتروني يريد الوصول إلى حساباتهم، حيث أن المصادقة الإضافية المطلوبة كانت ستمنع تسجيل الدخول الناجح.
قال بيلتون: “يجب أن نتعلم الدروس من كل هجوم، والدروس المستفادة من هذه الثغرة الأمنية هي تمكين MFA، والتأكد من الحفاظ على التصحيح المنتظم والتأكد من أنك تطلب تدابير أمنية إلكترونية قوية داخل سلسلة التوريد الخاصة بك”.
تأخر الترقيع
ما أثار قلق الأعضاء الآخرين في مجتمع الأمان هو حقيقة أنه على الرغم من تصحيح CVE-2023-7028 في يناير 2024، لا يزال هناك عدد كبير من مثيلات GitLab الضعيفة في البرية – وفقًا لبيانات ShadowServer الصحيحة حتى 1 مايو، أكثر من 300 في الولايات المتحدة والصين وروسيا، وأكثر من 200 في ألمانيا، و70 في فرنسا، و40 في المملكة المتحدة.
وقال: “إن هذا الاستغلال يثير أيضًا مسألة الترقيع، والتي نعلم أنها لا تزال تمثل تحديًا كبيرًا للعديد من المنظمات”. المهارة نائب الرئيس للاستراتيجية سيلفان كورتيس. “الحقيقة هي أنه تم إصدار تصحيح لهذا الخلل في 11 يناير، ومع ذلك لا يزال أكثر من ألف من إعدادات GitLab مكشوفة على الإنترنت.
“الأولوية بالنسبة للفرق هي التأكد من أنهم على دراية بالمشكلات التي يحتاجون إلى إصلاحها أولاً. تعد تقييمات الخطورة مهمة، ولكن يجب على فرق الأمان إعطاء الأولوية لنقاط الضعف التي تشكل أكبر خطر على بيئتهم.
