Threats
Uma falha de redefinição de palavra-passe da GitLab está a ser explorada em ataques, com cerca de 1.400 servidores impactados, alerta a CISA
05/05/2024
A agência de cibersegurança dos Estados Unidos (CISA) alerta para a exploração ativa de uma vulnerabilidade crítica, com uma pontuação CVSS de 10/10, no processo de verificação de email da GitLab que pode levar à exfiltração de palavras-passe. A vulnerabilidade CVE-2023-7028 permite que as mensagens de redefinição de palavra-passe sejam enviadas para endereços de email que não foram verificados, possibilitando aos cibercriminosos invadir o processo e assumir o controlo das contas. Em janeiro de 2024, a GitLab lançou patches para a falha de segurança e avisou que foram afetadas as versões 16.1 a 16.7.1 do GitLab Community Edition (CE) e Enterprise Edition (EE). As correções foram incluídas nas versões 16.5.6, 16.6.4 e 16.7.2 da GitLab e retroportadas para as versões 16.1.6, 16.2.9, 16.3.7 e 16.4.5. Na altura, a empresa disse que não havia observado uma exploração ativa da CVE-2023-7028. No entanto, a CISA adicionou esta semana o bug ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), alertando que existem evidências de que a falha está a ser explorada ativamente. “As edições Community e Enterprise da GitLab contêm uma vulnerabilidade de controlo de acesso impróprio. Isto permite que um invasor acione o envio de e-mails de redefinição de palavra-passe para um endereço de e-mail não verificado para facilitar o controlo da conta”, explica a CISA. No final de janeiro, a Shadowserver Foundation comunicou que mais de 5.300 servidores da GitLab acessíveis pela Internet ainda não tinham sido corrigidos contra a vulnerabilidade. Os novos dados da organização demonstram que este número diminuiu para cerca de 1.400, a partir do dia 1 de maio. A Binding Operational Directive (BOD) 22-01 estipula que, com a inclusão da CVE-2023-7028 à lista KEV da CISA, as agências federais têm até 22 de maio para proceder à identificação das instâncias vulneráveis da GitLab nos seus ambientes, bem como para aplicar as patches disponíveis. Embora a BOD 22-01 se aplique apenas a agências federais, todas as organizações são aconselhadas a ler o comunicado da GitLab e atualizar com as patches e mitigações disponíveis o mais rápido possível. |