Agenzia statunitense per la sicurezza informatica e le infrastrutture (CISA). Di nome Una vulnerabilità critica colpisce il popolare gestore di repository basato su Git getlab Come vulnerabilità sfruttata nota (KEV). Questa mossa arriva in risposta ai tentativi di exploit attivi che sono stati rilevati, sottolineando l’urgente necessità per le organizzazioni di applicare immediatamente gli aggiornamenti di sicurezza.
Il difetto critico (punteggio CVSS: 10,0), tracciato come CVE-2023-7028, potrebbe consentire agli avversari di assumere il controllo degli account utente inviando e-mail di reimpostazione della password a indirizzi e-mail non verificati. Il catalogo KEV della CISA elenca le vulnerabilità della sicurezza informatica pubblicamente note che rappresentano un rischio elevato per le agenzie federali e vengono attivamente sfruttate dagli autori delle minacce.
GitLab ha inizialmente rivelato la falla nel gennaio 2023. La vulnerabilità, introdotta come parte di una modifica al codice nella versione 16.1.0 rilasciata il 1 maggio 2023, colpisce “tutti i meccanismi di autenticazione” nelle versioni interessate.
“Inoltre, gli utenti che hanno abilitato l'autenticazione a due fattori sono vulnerabili alla reimpostazione della password ma non al controllo dell'account poiché per accedere è richiesto un secondo fattore di autenticazione”, GitLab inserzionista Nella sua consultazione.
Secondo i ricercatori sulla sicurezza, le conseguenze di uno sfruttamento riuscito potrebbero essere gravi.
Società di sicurezza cloud Mitiga alla cautela Un utente malintenzionato che prendesse il controllo di un account utente GitLab potrebbe rubare informazioni e credenziali sensibili e persino inserire codice dannoso nei repository del codice sorgente, aprendo la strada agli attacchi alla catena di fornitura.
“Per gli aggressori e i malintenzionati interni che lo sfruttano, GitLab rappresenta qualcos'altro: una ricca fonte di valore organizzativo piena di proprietà intellettuale. Pertanto, comprendere i rischi di potenziali attacchi e usi impropri è importante per gli utenti di GitLab.”
“Un utente malintenzionato che ottiene l’accesso a una configurazione della pipeline CI/CD potrebbe incorporare codice dannoso progettato per filtrare dati sensibili, come informazioni di identificazione personale (PII) o token di autenticazione, e reindirizzarlo a un server controllato dall’avversario.
“Allo stesso modo, la manomissione del codice del repository può comportare l’introduzione di malware che compromette l’integrità del sistema o introduce backdoor per l’accesso non autorizzato. Codice dannoso o abuso di percorsi possono portare al furto di dati, all’interruzione del codice, all’accesso non autorizzato e agli attacchi alla catena di fornitura”.
Da allora GitLab ha rilasciato patch per risolvere la vulnerabilità nelle versioni 16.5.6, 16.6.4 e 16.7.2, con backport disponibili per le versioni 16.1.6, 16.2.9, 16.3.7 e 16.4.5.
La decisione della CISA di aggiungere CVE-2023-7028 al catalogo KEV sottolinea la gravità del difetto e i potenziali rischi che pone alle agenzie federali e alle infrastrutture critiche. Secondo le linee guida dell'agenzia, le agenzie civili federali devono implementare gli aggiornamenti necessari entro il 22 maggio 2024 per proteggere le proprie reti da potenziali tentativi di sfruttamento.
Anche se la CISA non ha fornito dettagli specifici su come sfruttare efficacemente la vulnerabilità, le linee guida dell'agenzia sottolineano l'importanza di applicare patch tempestivamente, soprattutto di fronte a minacce sempre più sofisticate e persistenti che prendono di mira le catene di fornitura del software.
(Immagine dalla fotografia Leandro Mazzucchini)
Guarda anche: L'implementazione di GitHub 2FA migliora la sicurezza della catena di fornitura
Vuoi saperne di più sulla sicurezza informatica e sul cloud dai leader del settore? pagando Expo sulla sicurezza informatica e sul cloud Si svolgerà ad Amsterdam, in California e a Londra. Questo evento completo è collocato in contemporanea con altri eventi importanti, tra cui Blocco X, Settimana della trasformazione digitale, Mostra sulla tecnologia dell'Internet delle cose E Mostra Intelligenza Artificiale e Big Data.
Esplora altri eventi e webinar sulla tecnologia aziendale forniti da TechForge Qui.