GitLab a averti aujourd'hui qu'une vulnérabilité critique dans les éditions GitLab Community et Enterprise de son produit permet aux attaquants d'exécuter des tâches de pipeline comme n'importe quel autre utilisateur.

La plateforme GitLab DevSecOps compte plus de 30 millions d'utilisateurs enregistrés et est utilisée par plus de 50 % des entreprises Fortune 100, dont T-Mobile, Goldman Sachs, Airbus, Lockheed Martin, Nvidia et UBS.

La faille corrigée dans la mise à jour de sécurité d'aujourd'hui est suivie comme CVE-2024-6385et il a reçu un score de gravité de base CVSS de 9,6 sur 10.

Cela affecte toutes les versions GitLab CE/EE de 15.8 à 16.11.6, de 17.0 à 17.0.4 et de 17.1 à 17.1.2. Dans certaines circonstances que GitLab n'a pas encore divulguées, les attaquants peuvent l'exploiter pour déclencher un nouveau pipeline en tant qu'utilisateur arbitraire.

Les pipelines GitLab sont une fonctionnalité du système d'intégration continue/déploiement continu (CI/CD) qui permet aux utilisateurs d'exécuter automatiquement des processus et des tâches en parallèle ou séquentiellement pour créer, tester ou déployer des modifications de code.

La société a publié les versions 17.1.2, 17.0.4 et 16.11.6 de GitLab Community et Enterprise pour remédier à cette faille de sécurité critique et a conseillé à tous les administrateurs de mettre à niveau toutes les installations immédiatement.

« Nous recommandons vivement que toutes les installations exécutant une version affectée par les problèmes décrits ci-dessous soient mises à niveau vers la dernière version dès que possible », il a prévenu« GitLab.com et GitLab Dedicated exécutent déjà la version corrigée. »

Une faille de prise de contrôle de compte activement exploitée dans des attaques

GitLab a corrigé une vulnérabilité presque identique (suivie comme CVE-2024-5655) fin juin, qui pourrait également être exploité pour exécuter des pipelines comme d'autres utilisateurs.

Un mois plus tôt, il avait corrigé une vulnérabilité de haute gravité (CVE-2024-4835) qui permet aux acteurs malveillants non authentifiés de prendre le contrôle de comptes dans le cadre d'attaques de script intersite (XSS).

Comme l'a prévenu la CISA en mai, les acteurs malveillants exploitent également activement une autre vulnérabilité zéro clic de GitLab (CVE-2023-7028) a été corrigé en janvier. Cette vulnérabilité permet aux attaquants non authentifiés de pirater des comptes via des réinitialisations de mot de passe.

Alors que Shadowserver a découvert plus de 5 300 instances GitLab vulnérables exposées en ligne en janvier, moins de la moitié (1 795) sont toujours accessibles aujourd'hui.

Les attaquants ciblent GitLab car il héberge différents types de données d'entreprise sensibles, notamment des clés API et du code propriétaire, ce qui entraîne un impact significatif sur la sécurité après une violation.

Cela inclut les attaques de la chaîne d'approvisionnement si les acteurs de la menace insèrent du code malveillant dans les environnements CI/CD (intégration continue/déploiement continu), compromettant ainsi les référentiels de l'organisation piratée.