Kritik bir GitLab güvenlik açığı, bir saldırganın bir işlem hattını başka bir kullanıcı olarak çalıştırmasına izin verebilir.
GitLab popüler bir Git deposudur. GitHub’dan sonra ikinci sıradamilyonlarca aktif kullanıcıya sahip. Bu hafta, Community (açık kaynak) ve Enterprise Sürümlerinin yeni sürümleri.
Güncellemeler, çapraz site istek sahteciliği (CSRF), çapraz site betikleme (XSS), hizmet reddi (DoS) ve daha fazlası dahil olmak üzere 14 farklı güvenlik sorunu için düzeltmeler içeriyor. Sorunlardan biri, Ortak Güvenlik Açığı Puanlama Sistemi’ne (CVSS) göre düşük önem derecesine sahip olarak değerlendiriliyor, dokuzu orta önem derecesine sahip ve üçü yüksek önem derecesine sahip — ancak ayrıca 10 üzerinden 9,6 CVSS puanına sahip kritik bir hata da var.
CVE-2024-5655 Kod Geliştirmeye Kritik Bir Tehdit Oluşturuyor
Şirkete göre bu kritik CVE-2024-5655, 15.8’den önceki 16.11.5’ten, 17.0’dan önceki 17.0.3’ten ve 17.1’den önceki 17.1.1’den başlayan GitLab sürümlerini etkiliyor. Bir saldırganın başka bir kullanıcı olarak bir boru hattını tetiklemesine olanak tanır, ancak bunu yalnızca GitLab’ın ayrıntılı olarak açıklamadığı (veya güvenlik açığı hakkında başka herhangi bir bilgi sağlamadığı) koşullar altında yapar.
İşlem hattı GitLab’da kod oluşturma, test etme ve dağıtma sürecini otomatikleştirir. Teorik olarak, diğer kullanıcılar gibi işlem hatlarını çalıştırma yeteneğine sahip bir saldırgan, kendi özel depolarına erişebilir ve burada bulunan hassas kod ve verileri manipüle edebilir, çalabilir veya sızdırabilir.
İle farklı olarak CVE-2023-7028 — bu Baharın başlarında istismar edildiği bilinen 10 hesap devralma hatasından 10’u — GitLab şu ana kadar CVE-2024-5655’in vahşi ortamda istismar edildiğine dair hiçbir kanıt bulamadı. Ancak bu hızla değişebilir.
Sadece Güvenlik Değil, Bir Uyumluluk Sorunu
CVE-2024-5655 gibi geliştirme sürecinin derinliklerine dayanan sorunlar, bazen kağıt üzerinde oluşturdukları basit risklerin ötesinde baş ağrılarına neden olabiliyor.
Synopsys Software Integrity Group’un baş danışman yardımcısı Jamie Boote, “En kötü senaryoda, bu güvenlik açığının şirketlere para kaybı veya gelir kaybı yaşatmak için kullanılmasına bile gerek yok” diyor. Bir yazılımın veya yazılım odaklı ürünün GitLab’ın savunmasız bir sürümü kullanılarak oluşturulmuş olması bile endişe kaynağı olabilir.
“Bu tür boru hattı güvenlik açıkları yalnızca bir güvenlik riski oluşturmakla kalmaz ancak aynı zamanda düzenleme ve uyumluluk riski de vardır. ABD şirketleri, ABD Hükümetine yazılım ve ürün satmak için yerine getirmeleri gereken Kişisel Beyan Formu gerekliliklerine uyum sağlamaya çalışırken, bu güvenlik açığının ele alınmaması, satışları ve sözleşmeleri riske atabilecek bir uyumluluk boşluğuna yol açabilir.” Özellikle, ABD Ticaret Bakanlığı’nın Güvenli Yazılım Geliştirme Onay Formu Talimatlarının III. Bölümündeki satır maddesi 1c’ye işaret ediyor; bu madde “Yazılım geliştirme ve oluşturmayla ilgili ortamlar arasında çok faktörlü kimlik doğrulamanın ve koşullu erişimin zorunlu kılınması”nı gerektirir. Bu da güvenlik riskini en aza indiriyor.”
“Bu güvenlik açığını bir istismar olarak ele almayan şirketler için madde 1c’ye uyum, saldırganların şirketlerin uyumluluk için güvendiği koşullu erişim kontrollerini atlamasına olanak tanıyacaktır” diye bitiriyor.
