GitLab corrigiu uma vulnerabilidade crítica (CVE-2023-5009) na Enterprise Edition (EE) e Community Edition (CE) de sua plataforma DevOps amplamente utilizada. A falha pode permitir que um agente de ameaça abuse das políticas de execução de varredura para executar pipelines como outro usuário.
Sobre a vulnerabilidade (CVE-2023-5009)
CVE-2023-5009 – descoberto pelo desenvolvedor de software e caçador de bugs Johan Carlsson (joaxcar) no GitLab EE – afeta todas as versões a partir de 13.12 antes de 16.2.7 e todas as versões a partir de 16.3 antes de 16.3.4, SE as “transferências diretas” e Os recursos de “políticas de segurança” são ativados ao mesmo tempo.
“A política de execução de varredura permite configurar scanners integrados para projetos GitLab, como análise estática e varredura de vulnerabilidades. Esses scanners são executados em pipelines dedicados com um conjunto predefinido de permissões”, disse Alex Ilgayev, chefe de pesquisa de segurança da Cycode, ao Help Net Security.
A vulnerabilidade é um desvio para outra vulnerabilidade (CVE-2023-3932) relatada e corrigida há um mês.
“De acordo com o rastreador de problemas e o código-fonte do GitLab, qualquer usuário pode facilmente explorar essa vulnerabilidade alterando o autor do arquivo de política usando o comando ‘git config’. A verificação é feita através da identidade do último commiter do arquivo de política, obtendo efetivamente as permissões de usuários arbitrários”, acrescentou Ilgayev.
“Desde então, o GitLab atualizou o mecanismo para executar essas verificações de segurança usando um usuário bot dedicado com permissões limitadas. Embora o GitLab não tenha divulgado informações oficiais sobre o desvio, ao inspecionar o código-fonte do GitLab, o desvio parece envolver a remoção do usuário bot do grupo e permitir a execução do fluxo de vulnerabilidade anterior novamente.”
Mitigação
GitLab lançou versões fixas para GitLab Community Edition (CE) e Enterprise Edition (EE).
“Recomendamos fortemente que todas as instalações do GitLab sejam atualizadas para uma dessas versões imediatamente. GitLab.com já está executando a versão corrigida”, disse Nick Malcolm, engenheiro sênior de segurança de aplicativos do GitLab.
Se uma atualização for impossível, Malcolm aconselhou desativar o recurso “transferências diretas” ou “políticas de segurança” (ou ambos).
No início deste ano, o GitLab abordou os problemas de segurança CVE-2022-41903 e CVE-2022-23521 no Git que afetaram sua Community Edition e Enterprise Edition.
FONTE: HELP NET SECURITY