Araştırmacılar, açık kaynaklı bir DevOps yazılımı olan GitLab’da, uzak, kimliği doğrulanmamış bir saldırganın kullanıcıyla ilgili bilgileri kurtarmasına potansiyel olarak izin verebilecek yeni bir güvenlik açığının ayrıntılarını açıkladı.
CVE-2021-4191 (CVSS puanı: 5.3) olarak izlenen orta önemdeki kusur, 13.0’dan itibaren GitLab Community Edition ve Enterprise Edition’ın tüm sürümlerini ve 14.4’ten başlayan ve 14.8’den önceki tüm sürümleri etkiler.
Rapid7’de kıdemli bir güvenlik araştırmacısı olan Jake Baines, kusuru keşfetme ve bildirme konusunda kredilendirildi. 18 Kasım 2021’deki sorumlu açıklamanın ardından yamalar yayınlandı 25 Şubat 2022’de gönderilen GitLab kritik güvenlik sürümleri 14.8.2, 14.7.4 ve 14.6.5’in bir parçası olarak kendi kendini yöneten sunucular için.
Baines, “Güvenlik açığı, belirli GitLab GraphQL API sorgularını yürütürken eksik bir kimlik doğrulama denetiminin sonucudur” dedim Perşembe günü yayınlanan bir raporda. “Uzak, kimliği doğrulanmamış bir saldırgan, kayıtlı GitLab kullanıcı adlarını, adlarını ve e-posta adreslerini toplamak için bu güvenlik açığını kullanabilir.”
API bilgi sızıntısının başarılı bir şekilde kullanılması, kötü niyetli aktörlerin bir hedefe ait meşru kullanıcı adlarının listelerini sıralamalarına ve derlemelerine izin verebilir ve bunlar daha sonra kaba kuvvet saldırıları gerçekleştirmek için bir sıçrama tahtası olarak kullanılabilir. şifre tahmini, şifre püskürtmeve kimlik bilgisi doldurma.
“Bilgi sızıntısı, bir saldırganın yalnızca gitlab.com’dan değil, GitLab kurulumlarına dayalı yeni bir kullanıcı adı sözcük listesi oluşturmasına da olanak tanır. [which is patched as of writing] değil, aynı zamanda internetten ulaşılabilen diğer 50.000 GitLab örneğinden de” dedi Baines.
Yama, CVE-2021-4191’in yanı sıra, biri kritik bir sorun olan (CVE-2022-0735, CVSS puanı: 9.6), yetkisiz bir saldırganın verileri sifon etmesine olanak tanıyan altı güvenlik açığını da giderir. koşucu kayıt jetonları GitLab örneklerinde barındırılan CI/CD işlerinin kimliğini doğrulamak ve yetkilendirmek için kullanılır.