GitLab, bir aydan kısa bir süre içinde ikinci kez, DevOps platformunun topluluk ve kurumsal sürümlerinde sürekli entegrasyon/sürekli geliştirme (CI/CD) hatlarını etkileyebilecek kritik bir güvenlik açığını gidermek için kullanıcıları harekete geçirdi.
A GitLab CI/CD işlem hattı temel olarak bir yazılım geliştirme yaşam döngüsündeki derleme, test etme ve dağıtım adımlarını otomatikleştirir. GitLab’ın açıkladığı gibi: “En temel düzeyde, bir boru hattı kodu A noktasından B noktasına götürür. Boru hattı ne kadar hızlı ve verimli olursa, bu görevi o kadar iyi gerçekleştirir.” Geliştiriciler, kod gönderimleri, birleştirme istekleri veya zamanlanmış işler aracılığıyla otomatik iş akışını tetikleyebilir.
Güvenlik açığı olarak tanımlanan CVE-2024-6385, saldırganlara GitLab sistemindeki herhangi bir kullanıcının bağlamında bir işlem hattı çalıştırmanın yolunu verir.
“Bu, bir saldırganın herhangi bir kullanıcının kimliğini ele geçirerek projelerine, verilerine ve kod depolarına yetkisiz erişim elde edebileceği anlamına gelir,” diyor Skybox Security’de kıdemli teknik direktör olan Howard Goodman. “Bu, kötü amaçlı kod enjekte etme, hassas bilgilere erişme veya geliştirme hatlarının normal operasyonlarını bozma gibi çeşitli kötü amaçlı faaliyetlere yol açabilir.”
Hatanın ciddiyet derecesi CVSS ölçeğinde mümkün olan en yüksek 10 üzerinden 9,6 olup GitLab CE/EE’nin 16.11.6’dan önceki 15.8, 17.0.4’ten önceki 17.0 ve 17.1.2’den önceki 17.1 sürümlerini etkiliyor.
GitLab, kullanıcıları kusur için düzeltmeyi dağıtma konusunda ertelememeye çağırdı. Şirket, “Bu kritik öneme sahip bir sorundur” dedi danışmanlıkkullanıcıları mümkün olan en kısa sürede en son sürüme yükseltmeye “şiddetle” çağırıyor.
Benzer Ama Aynı Olmayan GitLab Hataları
Haber GitLab’dan sonra geliyor 26 Haziran’da CVE-2024-5655 açıklandıaynı CVSS puanı olan 9.8’i taşır ve ayrıca saldırganlara boru hatlarını keyfi kullanıcılar olarak çalıştırma olanağı verir. Ancak Goodman, iki kusur arasında ince farklar olduğunu söylüyor.
“CVE-2024-5655, belirli API çağrıları aracılığıyla istismara daha fazla odaklanmıştı, oysa CVE-2024-6385, GitLab CI/CD boru hattı süreci içinde daha geniş bir potansiyel saldırı vektörü yelpazesini içeriyor,” diye açıklıyor. “İkincisi daha geniş bir saldırı yüzeyi sunabilir ve bir saldırganın herhangi bir kullanıcı olarak gerçekleştirebileceği eylem yelpazesi nedeniyle potansiyel olarak daha ciddi bir etkiye sahip olabilir.”
Contrast Security’de CISO olan David Lindner, yeni güvenlik açığının GitLab’ın ilk seferde CVE-2024-5655’i tamamen düzeltmediğini veya aynı tür güvenlik açığını istismar etmek için başka bir yol keşfettiğini gösterdiğini söylüyor. Bu iki durumun da yazılımda oldukça yaygın olduğunu ve Log4J güvenlik açığı ve araştırmacıların ilk ifşanın ardından ortaya çıkarabildikleri çok sayıda ilgili konu.
Lindner, bir saldırganın yeni keşfedilen kusurları istismar etmek için belirli bir GitLab ortamında geçerli bir kullanıcı hesabına ihtiyacı olacağını söylüyor. “Bu, ön koşulun belirli bir GitLab örneğinde etkin bir hesaba sahip olmak olacağı anlamına gelir, bu da başarılı bir istismar olasılığını azaltır,” diye belirtiyor. “Bu, içeriden tehdit olasılığının daha yüksek olacağı anlamına gelir. Ancak bu hesaplardan herhangi biri tehlikeye atılmışsa veya atılıyorsa, harici bir saldırgan bundan faydalanabilir.”
GitLab ise bu açığı, yetkisiz bir saldırganın istismar edebileceği kadar karmaşık olmayan bir şey olarak değerlendirdi.
Goodman, “Saldırganın GitLab ortamı ve güvenlik açığı hakkında ayrıntılı bilgisi varsa, bunu istismar etmek kolay olabilir,” diyor. Ancak, ortamın karmaşıklığı ve gerekli bilgi, daha az yetenekli saldırganlar için bir engel teşkil edebilir, diye belirtiyor. “Ek olarak, GitLab’ın güvenlik önlemleri ve izlemesi, düzgün bir şekilde yapılandırılır ve etkin bir şekilde sürdürülürse, bu tür girişimleri tespit edebilir ve azaltabilir.”
GitLab kullanan kuruluşlar için bu haftanın güvenlik açığı, DevOps platformunda son iki buçuk ayda uğraşmak zorunda kaldıkları üçüncü ciddi hatayı işaret ediyor. Şirket, Mayıs ayında maksimum ciddiyet, uygunsuz erişim kontrol hatası ortaya çıktı saldırganlara hesapları tamamen ele geçirmenin bir yolunu sunan bir güvenlik açığıydı. CISA, hatanın ifşa edilmesinden sonraki günlerde kapsamlı bir istismar faaliyeti sonrasında hatayı Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi.