Lỗ hổng nghiêm trọng cho phép chiếm đoạt tài khoản người dùng GitLab

0
0

 - Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã thêm một lỗ hổng nghiêm trọng ảnh hưởng đến GitLab vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).

Lỗ hổng có định danh CVE-2023-7028, điểm nghiêm trọng tối đa (điểm CVSS: 10.0), có thể cho phép tác nhân đe dọa chiếm đoạt tài khoản người dùng bằng cách gửi email đặt lại mật khẩu đến một địa chỉ email chưa được xác minh.

GitLab, đã tiết lộ chi tiết về vấn đề này vào đầu tháng 1 năm nay, cho biết nó đã xuất hiện trong quá trình thay đổi mã nguồn trong phiên bản 16.1.0 vào ngày 1 tháng 5 năm 2023.

Tại thời điểm đó, công ty lưu ý rằng: “Trong những phiên bản này, tất cả các cơ chế xác thực đều bị ảnh hưởng”. "Ngoài ra, người dùng đã bật xác thực hai yếu tố có thể bị đặt lại mật khẩu nhưng không thể chiếm đoạt tài khoản vì yếu tố xác thực thứ hai của họ là bắt buộc để đăng nhập".

 

Việc khai thác thành công lỗ hổng này có thể gây ra hậu quả nghiêm trọng vì nó không chỉ cho phép kẻ đe dọa chiếm quyền kiểm soát tài khoản người dùng GitLab mà còn đánh cắp thông tin nhạy cảm, thông tin xác thực hoặc “đầu độc” các kho lưu trữ mã nguồn bằng mã độc, dẫn đến các cuộc tấn công chuỗi cung ứng.

Trong một báo cáo gần đây, công ty bảo mật cloud Mitiga cho biết “kẻ tấn công có quyền truy cập vào cấu hình pipeline CI/CD có thể cài cắm mã độc cho phép lấy cắp dữ liệu nhạy cảm, như Thông tin nhận dạng cá nhân (PII) hoặc token xác thực, và chuyển chúng đến máy chủ do kẻ tấn công kiểm soát”.

"Tương tự như vậy, việc giả mạo mã kho lưu trữ có thể liên quan đến việc chèn phần mềm độc hại làm tổn hại đến tính toàn vẹn của hệ thống hoặc phát tán các phần mềm backdoor. Phát tán mã độc hoặc lạm dụng pipeline có thể dẫn đến việc đánh cắp dữ liệu, gây hư hỏng mã, truy cập trái phép và tấn công chuỗi cung ứng”.

Lỗ hổng này đã được giải quyết trong các phiên bản GitLab 16.5.6, 16.6.4 và 16.7.2, đồng thời bản vá cũng được triển khai cho các phiên bản 16.1.6, 16.2.9, 16.3.7 và 16.4.5.

CISA hiện chưa cung cấp bất kỳ chi tiết nào khác liên quan đến việc lỗ hổng bị khai thác trong thực tế. Do tình trạng lạm dụng đang diễn ra, các cơ quan liên bang được yêu cầu áp dụng các bản vá lỗi mới nhất trước ngày 22 tháng 5 năm 2024 để bảo mật mạng của họ.

PV (theo thehackernews.com/tinhhiemmang.vn)


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.