GitLab ออกแพตซ์อัปเดตความปลอดภัยสำหรับทั้ง Community และ Enterprise Edition เพื่อแก้ไขช่องโหว่ระดับ Critical สองรายการ โดยหนึ่งในนั้นเป็นช่องโหว่ที่มีคะแนนระดับความรุนแรงสูงสุดเต็ม 10 และมีหมายเลข CVE-2023-7028 (more…)

GitLab ได้เผยแพร่การอัปเดตแพตซ์ด้านความปลอดภัยเร่งด่วนเวอร์ชัน 16.0.1 เพื่อแก้ไขช่องโหว่ระดับ Critical (คะแนน CVSS v3.1: 10.0) หมายเลข CVE-2023-2825

โดย GitLab เป็นที่เก็บ Git repository บนเว็บ สำหรับทีมนักพัฒนาที่ต้องการจัดการโค้ดของตน มีผู้ใช้งานที่ลงทะเบียนประมาณ 30 ล้านราย และลูกค้าที่ใช้เวอร์ชันแบบเสียเงินกว่า 1 ล้านราย

ช่องโหว่ที่พบล่าสุด ถูกพบโดยนักวิจัยด้านความปลอดภัยชื่อ 'pwnie' ซึ่งรายงานช่องโหว่ในช่วงโครงการ bug bounty ของ GitLab ที่ชื่อว่า HackOne โดยช่องโหว่นี้ส่งผลกระทบกับ Community Edition (CE) และ Enterprise Edition (EE) เวอร์ชัน 16.0.0 แต่เวอร์ชันที่เก่ากว่านี้จะไม่ได้รับผลกระทบ
โดยเป็นช่องโหว่ path traversal ที่ทำให้ผู้โจมตีสามารถอ่านไฟล์บนเซิร์ฟเวอร์ได้ตามที่ต้องการ ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญ รวมถึงซอฟต์แวร์โค้ด, ข้อมูลผู้ใช้งาน, โทเค็น, ไฟล์ และข้อมูลส่วนตัวอื่น ๆ ได้

อย่างไรก็ตาม เนื่องจากช่องโหว่นี้มีระดับ Critical และเพิ่งถูกค้นพบ GitLab จึงยังไม่ได้เปิดเผยรายละเอียดมากนัก แต่เน้นย้ำถึงความสำคัญของการอัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุดโดยด่วน

GitLab แนะนำให้ผู้ใช้ GitLab 16.0.0 อัปเดตเป็นเวอร์ชัน 16.0.1 โดยเร็วที่สุด และปัจจุบันยังไม่มีวิธีแก้ไขปัญหาชั่วคราว หากต้องการอัปเดตการติดตั้ง GitLab ให้ทำตามคำแนะนำในหน้าอัปเดตของโปรเจ็กต์ สำหรับการอัปเดต GitLab Runner โปรดดูคู่มือนี้ hxxps[:]//docs[.]gitlab[.]com/runner/install/

 

ที่มา : bleepingcomputer

ในสัปดาห์นี้ แพลตฟอร์ม DevOps GitLab ออกแพตช์อัปเดตแก้ไขช่องโหว่ด้านความปลอดภัยที่สำคัญในซอฟต์แวร์ ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงระบบได้

โดยช่องโหว่มีหมายเลข CVE-2022-2884 (คะแนน CVSS: 9.9) เป็นช่องโหว่ที่ส่งผลกระทบต่อ GitLab Community Edition (CE) และ Enterprise Edition (EE) ทุกรุ่นตั้งแต่ 11.3.4 เวอร์ชันก่อน 15.1.5, 15.2 เวอร์ชันก่อน 15.2.3 และ 15.3 เวอร์ชันก่อน 15.3.1

โดยช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ ซึ่งสามารถโจมตีได้ผ่านทาง GitHub import API โดย GitLab ระบุว่าช่องโหว่นี้ถูกค้นพบ และรายงานโดย yvvdwf

ถึงแม้ว่าปัจจุบันช่องโหว่นี้จะได้รับการแก้ไขแล้วในเวอร์ชัน 15.3.1, 15.2.3, 15.1.5 ผู้ใช้งานยังมีทางเลือกในการป้องกันการโจมตีจากช่องโหว่ดังกล่าว ด้วยการปิดการใช้งาน GitHub import option ชั่วคราว

คลิก "Menu" -> "Admin"
คลิก "Settings" -> "General"
ขยายแท็บ "Visibility and access controls"
ภายใต้ "Import sources" ปิดการใช้งานตัวเลือก "GitHub"
คลิก "Save changes"แม้ว่าปัจจุบันยังไม่มีหลักฐานว่าช่องโหว่ดังกล่าวถูกนำมาใช้ในการโจมตีจริง แต่แนะนำให้ผู้ใช้งานที่ได้รับผลกระทบควรอัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

แม้ว่าปัจจุบันยังไม่มีหลักฐานว่าช่องโหว่ดังกล่าวถูกนำมาใช้ในการโจมตีจริง แต่แนะนำให้ผู้ใช้งานที่ได้รับผลกระทบควรอัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

ที่มา : thehackernews

GitLab ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical สำหรับผลิตภัณฑ์เกี่ยวกับ Community และ Enterprise Edition หลายเวอร์ชันเพื่อแก้ไขช่องโหว่ 8 รายการ ซึ่งมีช่องโหว่หนึ่งในนั้นที่ทำให้สามารถเข้าควบคุมบัญชีผู้ใช้งานได้

GitLab คือ Web-based Git ที่นิยมใช้สำหรับทีม Developer ที่ต้องการจัดการเกี่ยวกับการเขียนโค้ด โดยมีผู้ใช้งานที่ลงทะเบียนประมาณ 30 ล้านคน และเป็นลูกค้าที่มีการชำระเงินเพื่อใช้งาน 1 ล้านคน

การถูกเข้าควบคุมบัญชีผู้ใช้งานของ GitLab นั้นมีผลกระทบค่อนข้างร้ายแรงมาก เนื่องจากจะทำให้แฮ็กเกอร์สามารถเข้าถึง Project ของ Developer และขโมยซอร์สโค้ดออกไปได้

ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-1680 ระดับความรุนแรง Critical และมี CVSS score 9.9 โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ GitLab เวอร์ชัน 11.10 ถึง 14.9.4, 14.10 ถึง 14.10.3 และเวอร์ชัน 15.0 ทั้งหมด

จากคำแนะนำของบริษัท การใช้ประโยชน์จากช่องโหว่เกิดขึ้นใน Instances ที่มีการกำหนดค่าเฉพาะ และโอกาสในการโจมตีสำเร็จจะลดลงเมื่อมีการใช้งาน two-factor authentication (2FA) ของบัญชีนั้น

GitLab กล่าวว่า "เมื่อมีการตั้งค่า group SAML SSO ไว้ SCIM feature อาจทำให้ owner ของ premium group คนใดก็ได้ สามารถเชิญผู้ใช้อื่นเข้าร่วมได้ผ่านทางชื่อผู้ใช้และอีเมล จากนั้นยังสามารถเปลี่ยนที่อยู่อีเมลของผู้ใช้เหล่านั้นผ่าน SCIM เป็นที่อยู่อีเมลที่ควบคุมโดยผู้โจมตี นอกจากนี้ผู้โจมตียังสามารถเปลี่ยนชื่อที่แสดง และชื่อผู้ใช้ของบัญชีเป้าหมายได้"

การแก้ไข และลดผลกระทบ

ช่องโหว่นี้ได้รับการแก้ไขแล้วด้วยการอัปเดตแพตซ์ของช่องโหว่ที่ได้รับผลกระทบทั้งหมด โดยผู้ใช้ GitLab ทุกคนควรอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

สำหรับคำแนะนำเกี่ยวกับวิธีการอัปเดต GitLab สามารถตรวจสอบได้ที่ https://about.

นักวิจัยด้านความปลอดภัย Riccardo "rpadovani" Padovani ได้เปิดเผยช่องโหว่ซึ่งเกิดจากการที่ GitLab ไม่ได้นำโค้ดในส่วนที่เป็น Elasticsearch Search API ออกในกระบวนการเปลี่ยนการตั้งค่าจากโครงการ public เป็นโครงการแบบ private ซึ่งส่งผลให้โค้ดในโครงการซึ่งเป็น private แล้วจะยังสามารถถูกค้นหาได้ผ่าน API นี้

หลังจากที่ Riccardo มีการแจ้งช่องโหว่ไปในเดือนพฤศจิกายน 2019 ทาง GitLab ได้มีการปล่อยรุ่น 12.5.4 ซึ่งมีการแก้ไขปัญหานี้แล้ว จากการค้นพบดังกล่าว Riccardo ได้เงินรางวัลจากช่องโหว่เป็นจำนวนเงินประมาณ 90,000 บาท ผ่านทางแพลตฟอร์ม HackerOne

ที่มา : Zdnet

แฮกเกอร์เรียกค่าไถ่แลกกับการไม่เปิด git repository เป็นสาธารณะ หากผู้ที่ตกเป็นเหยื่อไม่ชำระเงินใน 10 วัน

แฮกเกอร์อ้างว่าซอร์สโค้ดทั้งหมดได้รับการดาวน์โหลดและเก็บไว้ในเซิร์ฟเวอร์ตัวใดตัวหนึ่งแล้วให้เหยื่อจ่ายเงินค่าไถ่ 10 วัน ชำระเงินเป็น 0.1 Bitcoin (~ $ 570) มิฉะนั้นพวกเขาจะทำให้ซอร์สโค้ดเป็นสาธารณะ การโจมตีครั้งนี้เกิดกับหลายๆ บริการโฮสติ้ง Git ทั้ง GitHub Bitbucket และ GitLab และยังไม่ชัดเจนว่าเกิดขึ้นได้อย่างไร
โดยแฮกเกอร์จะลบซอร์สโค้ดทั้งหมดและ commit ล่าสุดจากบริการโฮสติ้ง Git ของเหยื่อ

จากการสำรวจของ GitHub พบว่า git repository บน GitHub อย่างน้อย 392 แห่งได้ถูกเรียกค่าไถ่แล้ว และจากข้อมูลของ BitcoinAbuse.

นักวิจัยด้านความปลอดภัย Edwin Foudil ทำการยึดโดเมนจำนวนกว่า700 โดเมนของเว็บไซต์ GitLab โดยใช้เวลาเพียงไม่กี่วินาที หลังจากที่เขาตรวจพบช่องโหว่ในระบบจะดการโดเมนเนมของบริษัทปัญหาดังกล่าวที่ไม่มีการตรวจสอบความถูกต้องเมื่อผู้ใช้เพิ่มโดเมนที่กำหนดเอง (custom domain) ไปยังบัญชี GitLab

เนื่องฟีเจอร์ GitLab Pages นั้นรองรับการตั้งค่าโดเมนเนม ผู้โจมตีจึงสามารถแก้ไขการตั้งค่าโดเมนเนมของ GitLab Pages ตัวเองถือครองอยู่ให้เป็นโดเมนเนมที่มีอยู่จริงของ GitLab และชี้ไปยังไอพีเดียวกันได้ ส่งผลให้ผู้โจมตีสามารถควบคุมเนื้อหาที่จะแสดงได้จากรไฟล์บน repository ด้วย

ทางบริษัทได้ทำการปิดฟังก์ชันดังกล่าวและกำลังดำเนินการแก้ปัญหาโดยคาดการณ์ว่าสามารถแก้ไขให้เสร็จสิ้นภายในสิ้นเดือนนี้

ที่มา: zdnet