GitLab ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical สำหรับผลิตภัณฑ์เกี่ยวกับ Community และ Enterprise Edition หลายเวอร์ชันเพื่อแก้ไขช่องโหว่ 8 รายการ ซึ่งมีช่องโหว่หนึ่งในนั้นที่ทำให้สามารถเข้าควบคุมบัญชีผู้ใช้งานได้

GitLab คือ Web-based Git ที่นิยมใช้สำหรับทีม Developer ที่ต้องการจัดการเกี่ยวกับการเขียนโค้ด โดยมีผู้ใช้งานที่ลงทะเบียนประมาณ 30 ล้านคน และเป็นลูกค้าที่มีการชำระเงินเพื่อใช้งาน 1 ล้านคน

การถูกเข้าควบคุมบัญชีผู้ใช้งานของ GitLab นั้นมีผลกระทบค่อนข้างร้ายแรงมาก เนื่องจากจะทำให้แฮ็กเกอร์สามารถเข้าถึง Project ของ Developer และขโมยซอร์สโค้ดออกไปได้

ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-1680 ระดับความรุนแรง Critical และมี CVSS score 9.9 โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ GitLab เวอร์ชัน 11.10 ถึง 14.9.4, 14.10 ถึง 14.10.3 และเวอร์ชัน 15.0 ทั้งหมด

จากคำแนะนำของบริษัท การใช้ประโยชน์จากช่องโหว่เกิดขึ้นใน Instances ที่มีการกำหนดค่าเฉพาะ และโอกาสในการโจมตีสำเร็จจะลดลงเมื่อมีการใช้งาน two-factor authentication (2FA) ของบัญชีนั้น

GitLab กล่าวว่า "เมื่อมีการตั้งค่า group SAML SSO ไว้ SCIM feature อาจทำให้ owner ของ premium group คนใดก็ได้ สามารถเชิญผู้ใช้อื่นเข้าร่วมได้ผ่านทางชื่อผู้ใช้และอีเมล จากนั้นยังสามารถเปลี่ยนที่อยู่อีเมลของผู้ใช้เหล่านั้นผ่าน SCIM เป็นที่อยู่อีเมลที่ควบคุมโดยผู้โจมตี นอกจากนี้ผู้โจมตียังสามารถเปลี่ยนชื่อที่แสดง และชื่อผู้ใช้ของบัญชีเป้าหมายได้"

การแก้ไข และลดผลกระทบ

ช่องโหว่นี้ได้รับการแก้ไขแล้วด้วยการอัปเดตแพตซ์ของช่องโหว่ที่ได้รับผลกระทบทั้งหมด โดยผู้ใช้ GitLab ทุกคนควรอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

สำหรับคำแนะนำเกี่ยวกับวิธีการอัปเดต GitLab สามารถตรวจสอบได้ที่ https://about.

นักวิจัยด้านความปลอดภัย Riccardo "rpadovani" Padovani ได้เปิดเผยช่องโหว่ซึ่งเกิดจากการที่ GitLab ไม่ได้นำโค้ดในส่วนที่เป็น Elasticsearch Search API ออกในกระบวนการเปลี่ยนการตั้งค่าจากโครงการ public เป็นโครงการแบบ private ซึ่งส่งผลให้โค้ดในโครงการซึ่งเป็น private แล้วจะยังสามารถถูกค้นหาได้ผ่าน API นี้

หลังจากที่ Riccardo มีการแจ้งช่องโหว่ไปในเดือนพฤศจิกายน 2019 ทาง GitLab ได้มีการปล่อยรุ่น 12.5.4 ซึ่งมีการแก้ไขปัญหานี้แล้ว จากการค้นพบดังกล่าว Riccardo ได้เงินรางวัลจากช่องโหว่เป็นจำนวนเงินประมาณ 90,000 บาท ผ่านทางแพลตฟอร์ม HackerOne

ที่มา : Zdnet

แฮกเกอร์เรียกค่าไถ่แลกกับการไม่เปิด git repository เป็นสาธารณะ หากผู้ที่ตกเป็นเหยื่อไม่ชำระเงินใน 10 วัน

แฮกเกอร์อ้างว่าซอร์สโค้ดทั้งหมดได้รับการดาวน์โหลดและเก็บไว้ในเซิร์ฟเวอร์ตัวใดตัวหนึ่งแล้วให้เหยื่อจ่ายเงินค่าไถ่ 10 วัน ชำระเงินเป็น 0.1 Bitcoin (~ $ 570) มิฉะนั้นพวกเขาจะทำให้ซอร์สโค้ดเป็นสาธารณะ การโจมตีครั้งนี้เกิดกับหลายๆ บริการโฮสติ้ง Git ทั้ง GitHub Bitbucket และ GitLab และยังไม่ชัดเจนว่าเกิดขึ้นได้อย่างไร
โดยแฮกเกอร์จะลบซอร์สโค้ดทั้งหมดและ commit ล่าสุดจากบริการโฮสติ้ง Git ของเหยื่อ

จากการสำรวจของ GitHub พบว่า git repository บน GitHub อย่างน้อย 392 แห่งได้ถูกเรียกค่าไถ่แล้ว และจากข้อมูลของ BitcoinAbuse.

นักวิจัยด้านความปลอดภัย Edwin Foudil ทำการยึดโดเมนจำนวนกว่า700 โดเมนของเว็บไซต์ GitLab โดยใช้เวลาเพียงไม่กี่วินาที หลังจากที่เขาตรวจพบช่องโหว่ในระบบจะดการโดเมนเนมของบริษัทปัญหาดังกล่าวที่ไม่มีการตรวจสอบความถูกต้องเมื่อผู้ใช้เพิ่มโดเมนที่กำหนดเอง (custom domain) ไปยังบัญชี GitLab

เนื่องฟีเจอร์ GitLab Pages นั้นรองรับการตั้งค่าโดเมนเนม ผู้โจมตีจึงสามารถแก้ไขการตั้งค่าโดเมนเนมของ GitLab Pages ตัวเองถือครองอยู่ให้เป็นโดเมนเนมที่มีอยู่จริงของ GitLab และชี้ไปยังไอพีเดียวกันได้ ส่งผลให้ผู้โจมตีสามารถควบคุมเนื้อหาที่จะแสดงได้จากรไฟล์บน repository ด้วย

ทางบริษัทได้ทำการปิดฟังก์ชันดังกล่าวและกำลังดำเนินการแก้ปัญหาโดยคาดการณ์ว่าสามารถแก้ไขให้เสร็จสิ้นภายในสิ้นเดือนนี้

ที่มา: zdnet