CVE-2023-7028:5300 台服务器面临威胁

阅读量64808

发布时间 : 2024-01-26 11:23:38

我们上周报告的 关键零点击 漏洞 CVE-2023-7028 ( CVSS 评分10.0) 是由研究人员在可通过互联网访问的5,300 多个GitLab实例中发现的。尽管该问题已在最新版本的 GitLab 中得到解决,但并非所有用户都成功更新了他们的软件。

该漏洞允许攻击者无需用户交互即可接管帐户。黑客将密码重置电子邮件发送到他们控制的电子邮件地址,这样就可以更改密码并接管帐户。

尽管该漏洞没有提供绕过双因素身份验证 ( 2FA ) 的方法,但它会给不受此附加安全机制保护的帐户带来重大风险。

该问题影响以下版本的 GitLab 社区版和企业版:

  • 16.1 至版本 16.1.5;
  • 16.2 至版本 16.2.8;
  • 16.3 至版本 16.3.6;
  • 16.4 至版本 16.4.4;
  • 16.5 至版本 16.5.6;
  • 16.6 至版本 16.6.4;
  • 16.7 至版本 16.7.2。

相应的修复已于 1 月 11 日发布。两周后,威胁监控服务ShadowServer 报告有 5,379 个可通过互联网访问的易受攻击的 GitLab 实例。

基于 GitLab 作为软件开发和项目规划平台的角色以及漏洞的性质,这些服务器面临供应链攻击、专有代码泄露、API密钥泄露和其他恶意活动的风险。

根据 Shadowserver 的数据,大多数易受攻击的服务器位于美国(964 台),其次是德国(730 台)、俄罗斯(721 台)、中国(503 台)、法国(298 台)、英国(122 台)、印度(117 台)和加拿大(99)。

那些尚未安装补丁的人可能已经受到威胁,因此使用 GitLab事件响应指南 并检查是否有受到威胁的迹象至关重要。

GitLab 之前 为安全专业人员分享了以下发现技巧:

  • 检查 gitlab-rails/product_json.log 中是否存在对 /users/password 路径的 HTTP 请求,其中 params.value.email 由包含多个电子邮件地址的 JSON 数组组成;
  • 检查 gitlab-rails/audit_json.log 中是否有包含 meta.caller.id PasswordsController#create 和 target_details 的条目,其中包含包含多个电子邮件地址的 JSON 数组。

发现受损实例的管理员除了在所有帐户上启用 2FA 并安装安全更新之外,还应更改所有凭据、API 令牌、证书和其他机密。

确保服务器安全后,管理员应检查开发环境的更改,包括源代码和可能被篡改的文件。

迄今为止,尚未确认主动利用 CVE-2023-7028 漏洞的案例,但这不应被视为推迟采取行动的理由。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66