GitLab ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical สำหรับผลิตภัณฑ์เกี่ยวกับ Community และ Enterprise Edition หลายเวอร์ชันเพื่อแก้ไขช่องโหว่ 8 รายการ ซึ่งมีช่องโหว่หนึ่งในนั้นที่ทำให้สามารถเข้าควบคุมบัญชีผู้ใช้งานได้
GitLab คือ Web-based Git ที่นิยมใช้สำหรับทีม Developer ที่ต้องการจัดการเกี่ยวกับการเขียนโค้ด โดยมีผู้ใช้งานที่ลงทะเบียนประมาณ 30 ล้านคน และเป็นลูกค้าที่มีการชำระเงินเพื่อใช้งาน 1 ล้านคน
การถูกเข้าควบคุมบัญชีผู้ใช้งานของ GitLab นั้นมีผลกระทบค่อนข้างร้ายแรงมาก เนื่องจากจะทำให้แฮ็กเกอร์สามารถเข้าถึง Project ของ Developer และขโมยซอร์สโค้ดออกไปได้
ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-1680 ระดับความรุนแรง Critical และมี CVSS score 9.9 โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ GitLab เวอร์ชัน 11.10 ถึง 14.9.4, 14.10 ถึง 14.10.3 และเวอร์ชัน 15.0 ทั้งหมด
จากคำแนะนำของบริษัท การใช้ประโยชน์จากช่องโหว่เกิดขึ้นใน Instances ที่มีการกำหนดค่าเฉพาะ และโอกาสในการโจมตีสำเร็จจะลดลงเมื่อมีการใช้งาน two-factor authentication (2FA) ของบัญชีนั้น
GitLab กล่าวว่า "เมื่อมีการตั้งค่า group SAML SSO ไว้ SCIM feature อาจทำให้ owner ของ premium group คนใดก็ได้ สามารถเชิญผู้ใช้อื่นเข้าร่วมได้ผ่านทางชื่อผู้ใช้และอีเมล จากนั้นยังสามารถเปลี่ยนที่อยู่อีเมลของผู้ใช้เหล่านั้นผ่าน SCIM เป็นที่อยู่อีเมลที่ควบคุมโดยผู้โจมตี นอกจากนี้ผู้โจมตียังสามารถเปลี่ยนชื่อที่แสดง และชื่อผู้ใช้ของบัญชีเป้าหมายได้"
การแก้ไข และลดผลกระทบ
ช่องโหว่นี้ได้รับการแก้ไขแล้วด้วยการอัปเดตแพตซ์ของช่องโหว่ที่ได้รับผลกระทบทั้งหมด โดยผู้ใช้ GitLab ทุกคนควรอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด
สำหรับคำแนะนำเกี่ยวกับวิธีการอัปเดต GitLab สามารถตรวจสอบได้ที่ https://about.gitlab.com/update/ และสำหรับ GitLab Runner สามารถใช้ repository นี้ได้ที่ https://docs.gitlab.com/runner/install/linux-repository.html#updating-the-runner
นอกจากนี้ เพื่อตรวจสอบว่ามีการป้องกันการเข้าถึง Security Assertion Markup Language (SAML) หรือไม่ ผู้ดูแลระบบสามารถตรวจสอบหน้าเว็บ https://docs.gitlab.com/ee/integration/saml.html#configuring-group-saml-on-a-self-managed-gitlab-instance ซึ่งมีคำแนะนำเกี่ยวกับการตั้งค่าฟังก์ชันการทำงานนี้
ช่องโหว่ที่มีความรุนแรงสูง
การอัปเดตครั้งนี้มีการแก้ไขช่องโหว่ที่มีความรุนแรงสูงอีก 2 รายการ ช่องโหว่แรกคือ cross-site scripting (XSS) ใน Jira integration component ซึ่งมีหมายเลข CVE-2022-1940 มีระดับความรุนแรง 7.7
ช่องโหว่ที่สองคือ missing validation of input ซึ่งทำให้สามารถทำ HTML injection ในรายชื่อผู้ติดต่อ และเปิดใช้งานการโจมตีแบบ XSS ได้ โดยมีหมายเลข CVE-2022-1948 และมีระดับความรุนแรงที่ 8.7
ช่องโหว่อีก 5 รายการที่เหลือ ได้แก่ IP allowlist bypass, improper authorization ใน Web terminal และ improper group member access และ lock bypass
ที่มา : bleepingcomputer