หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา หรือ CISA ได้สั่งการให้หน่วยงานรัฐบาลเร่งอัปเดตระบบ เพื่อปิดช่องโหว่ของ GitLab ที่มีอายุมากกว่า 5 ปี หลังพบว่ากำลังถูกใช้ในการโจมตีอยู่ในขณะนี้
GitLab ได้ทำการแก้ไขช่องโหว่ Server-Side Request Forgery (SSRF) (CVE-2021-39935) เมื่อเดือนธันวาคม ปี 2021 โดยระบุว่า ช่องโหว่นี้อาจทำให้ผู้โจมตีจากภายนอกที่ไม่ต้องยืนยันตัวตน และไม่มีสิทธิ์การเข้าถึง สามารถเข้าถึง CI Lint API ได้ ซึ่ง API นี้มีไว้สำหรับจำลองการทำงานของ Pipeline และตรวจสอบความถูกต้องของไฟล์ CI/CD configurations
GitLab ระบุว่า ในกรณีที่มีการจำกัดการลงทะเบียนผู้ใช้ ผู้ใช้งานจากภายนอกที่ไม่ใช่นักพัฒนาไม่ควรเข้าถึง CI Lint API ได้
การพบปัญหาใน GitLab รุ่น CE/EE ซึ่งส่งผลกระทบต่อทุกเวอร์ชันตั้งแต่ 10.5 จนถึงก่อน 14.3.6, ทุกเวอร์ชันตั้งแต่ 14.4 จนถึงก่อน 14.4.4 และทุกเวอร์ชันตั้งแต่ 14.5 จนถึงก่อน 14.5.2 โดยผู้ใช้งานภายนอกที่ไม่ได้รับอนุญาต สามารถทำการส่ง Requests จากฝั่งเซิร์ฟเวอร์ CI Lint API ได้
เมื่อวันอังคารที่ผ่านมา CISA ได้เพิ่มช่องโหว่นี้ลงในรายการช่องโหว่ที่กำลังถูกโจมตีอย่างแพร่หลาย และสั่งให้หน่วยงานในสังกัด Federal Civilian Executive Branch (FCEB) แก้ไขระบบของตนภายในวันที่ 24 กุมภาพันธ์ 2569 ตามข้อบังคับ Binding Operational Directive (BOD) 22-01
แม้ว่าข้อบังคับ BOD 22-01 จะมีผลบังคับใช้เฉพาะหน่วยงานรัฐบาลกลางเท่านั้น แต่ CISA ได้เตือนให้ทุกองค์กรรวมถึงภาคเอกชน ให้ความสำคัญสูงสุดในการป้องกันอุปกรณ์ของตนจากการโจมตีด้วยช่องโหว่ CVE-2021-39935 ที่กำลังเกิดขึ้นอย่างต่อเนื่อง
ช่องโหว่ประเภทนี้เป็นช่องทางการโจมตีที่ผู้ไม่หวังดีใช้บ่อยครั้ง และก่อให้เกิดความเสี่ยงอย่างมากต่อองค์กรภาครัฐ ให้ดำเนินการแก้ไขตามคำแนะนำของผู้ผลิต, ปฏิบัติตามแนวทางของข้อบังคับ BOD 22-01 สำหรับบริการคลาวด์ หรือยกเลิกการใช้งานผลิตภัณฑ์ดังกล่าวหากไม่มีแนวทางแก้ไขที่ใช้ได้ผล
CISA เตือนว่า ปัจจุบัน Shodan ตรวจพบอุปกรณ์กว่า 49,000 เครื่องที่มี Fingerprint ของ GitLab เปิดเชื่อมต่อออนไลน์อยู่ ซึ่งส่วนใหญ่พบในประเทศจีน และเกือบ 27,000 เครื่องมีการใช้งานผ่านพอร์ต 443
GitLab ระบุว่า แพลตฟอร์ม DevSecOps ของตนมีผู้ลงทะเบียนใช้งานมากกว่า 30 ล้านราย และถูกใช้งานโดยองค์กรในกลุ่ม Fortune 100 มากกว่า 50% รวมถึงบริษัทที่มีชื่อเสียง เช่น Nvidia, Airbus, Goldman Sachs, T-Mobile และ Lockheed Martin
เมื่อวานนี้ CISA ยังได้แสดงให้เห็นถึงช่องโหว่ที่สำคัญของ SolarWinds Web Help Desk ซึ่งกำลังถูกโจมตีอย่างแพร่หลาย และได้สั่งให้หน่วยงานภาครัฐแก้ไขระบบภายในสามวัน
ที่มา : bleepingcomputer
You must be logged in to post a comment.