La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha incluido una vulnerabilidad crítica en GitLab en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV) debido a la actividad de explotación en curso.
La vulnerabilidad rastreada como CVE-2023-7028, con una puntuación CVSS de 10.0, posibilita la toma de cuentas al enviar correos de restablecimiento de contraseña a una dirección no verificada.
Esta grave falla fue revelada por GitLab a principios de enero, introducida en el cambio de código de la versión 16.1.0 el 1 de mayo de 2023.
La empresa señaló que «en estas versiones, todos los mecanismos de autenticación se ven afectados», indicando que los usuarios con autenticación de dos factores habilitada son vulnerables al restablecimiento de la contraseña pero no a la toma de la cuenta.
Con la explotación exitosa de esta vulnerabilidad, un atacante no solo puede tomar el control de una cuenta de usuario de GitLab, sino también robar información sensible, credenciales e incluso inyectar código malicioso en repositorios de código fuente. Esto puede llevar a un ataque a la cadena de suministro.
Según Mitiga, una empresa de seguridad en la nube, un atacante puede extraer datos sensibles o tokens de autenticación a un servidor controlado por un adversario manipulando el código del pipeline CI/CD. De manera similar, manipular el código del repositorio podría implicar la inserción de malware que compromete la integridad del sistema o introduce puertas traseras para el acceso no autorizado.
La vulnerabilidad ha sido solucionada en las versiones 16.5.6, 16.6.4 y 16.7.2 de GitLab, con los parches también retrotraídos a las versiones 16.1.6, 16.2.9, 16.3.7 y 16.4.5.
CISA aún no ha proporcionado detalles sobre cómo se está explotando la vulnerabilidad en ataques del mundo real.
Las agencias federales activas deben aplicar las correcciones antes del 22 de mayo de 2024 para proteger sus redes.
Vía The Hacker News
