La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una falla crítica que afecta a GitLab a su catálogo de vulnerabilidades explotadas conocidas ( KEV ), debido a la explotación activa en la naturaleza.
Registrada como CVE-2023-7028 (puntaje CVSS: 10.0), la vulnerabilidad de gravedad máxima podría facilitar la apropiación de cuentas mediante el envío de correos electrónicos de restablecimiento de contraseña a una dirección de correo electrónico no verificada.
GitLab, que reveló detalles de la deficiencia a principios de enero, dijo que se introdujo como parte de un cambio de código en la versión 16.1.0 el 1 de mayo de 2023.
«En estas versiones, todos los mecanismos de autenticación se ven afectados», señaló la empresa en ese momento. «Además, los usuarios que tienen habilitada la autenticación de dos factores son vulnerables al restablecimiento de la contraseña, pero no a la apropiación de la cuenta, ya que se requiere su segundo factor de autenticación para iniciar sesión».
La explotación exitosa del problema puede tener consecuencias graves, ya que no solo permite a un adversario tomar el control de una cuenta de usuario de GitLab, sino también robar información confidencial, credenciales e incluso envenenar repositorios de código fuente con código malicioso, lo que lleva a ataques a la cadena de suministro.
«Por ejemplo, un atacante que obtenga acceso a la configuración del canal CI/CD podría incrustar código malicioso diseñado para filtrar datos confidenciales, como información de identificación personal (PII) o tokens de autenticación, redirigiéndolos a un servidor controlado por el adversario», dijo la firma de seguridad en la nube. Mitiga dijo en un informe reciente.
«Del mismo modo, la manipulación del código del repositorio podría implicar la inserción de malware que comprometa la integridad del sistema o introduzca puertas traseras para el acceso no autorizado. El código malicioso o el abuso del canal podría provocar robo de datos, interrupción del código, acceso no autorizado y ataques a la cadena de suministro».
La falla se solucionó en las versiones 16.5.6, 16.6.4 y 16.7.2 de GitLab, y los parches también se adaptaron a las versiones 16.1.6, 16.2.9, 16.3.7 y 16.4.5.
CISA aún tiene que proporcionar otros detalles sobre cómo se está explotando la vulnerabilidad en ataques del mundo real. A la luz del abuso activo, las agencias federales deben aplicar las últimas correcciones antes del 22 de mayo de 2024 para proteger sus redes.
Fuente y redacción: thehackernews.com