Source: Slashdot
联邦政府官员警告说,一项最严重的漏洞允许黑客劫持GitLab账号,无需用户交互即可实现。数据显示,成千上万的用户尚未安装今年1月发布的补丁。GitLab在2023年5月实施的更改使用户能够通过发送到备用电子邮件地址的链接发起密码更改,目的是在用户无法访问用于建立账户的电子邮件地址时允许重设密码。一月份,GitLab披露称,该功能允许攻击者发送重设邮件到他们控制的账户,然后从中单击嵌入链接接管账户。
虽然这些利用不需要用户交互,但劫持仅适用于未配置使用多因素身份验证的账户。即使开启多因素身份验证,账户仍然容易受到密码重置的影响。漏洞追踪编号为CVE-2023-7028,严重等级为10/10,属于不当的访问控制漏洞,可能构成严重威胁。GitLab的软件通常可以访问用户的多个开发环境。
通过访问这些环境并偷偷引入更改,攻击者可能破坏项目或植入后门感染在受影响环境构建的软件用户。Haz讲述了SolarWinds 2021年遭受的类似供应链攻击,感染了超过18000名客户。最近的其他供应链攻击示例见于这里,这里和这里。这类攻击非常强大!通过攻击一个精心挑选的目标,攻击者便有了感染数千下游用户的手段,往往无需他们采取任何行动。
根据安全组织Shadowserver执行的互联网扫描,超过2100个IP地址显示它们托管一个或多个存在漏洞的GitLab实例。为了保护您的系统,您应该开启多因素身份验证并安装最新的补丁。Goodin指出,GitLab用户还应记住,修补程序无法保护已通过利用程序而被入侵的系统。
在网络时代,安全守护需时刻谨慎,保护自己的账户远比被动修复更为重要。
特别声明:本文及配图均为用户上传或者转载,本文仅代表作者个人观点和立场,不代表平台观点。其原创性以及文中陈述文字和内容未经本站证实,
对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本平台不作任何保证或承诺,请读者仅作参考,
并请自行核实相关内容。如发现稿件侵权,或作者不愿在本平台发布文章,请版权拥有者通知本平台处理。
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios)
posted above belong to the User who shared or the third-party website which the User shared from.
If you found your copyright have been infringed, please send a DMCA takedown notice to
info@microheadline.com
来源:https://it.slashdot.org/story/24/05/02/1934220/maximum-severity-gitlab-flaw-allowing-account-hijacking-under-active-exploitation?utm_source=rss1.0mainlinkanon&utm_medium=feed
https://securityaffairs.com/157389/security/gitlab-zero-click-account-hijacking-flaw.html
https://securityaffairs.com/162646/security/gitlab-known-exploited-vulnerabilities-catalog.html
