Eine kritische Sicherheitslücke in GitLab wird laut CISA aktiv angegriffen. Es ermöglicht Angreifern, E-Mails zum Zurücksetzen des Passworts für jedes Konto an eine E-Mail-Adresse ihrer Wahl zu senden und so den Weg für die Kontoübernahme zu ebnen.
„Dadurch können Angreifer das Passwort zurücksetzen, als wären sie ein Benutzer, der sein Passwort vergessen hätte“, sagt Erich Kron, Befürworter des Sicherheitsbewusstseins bei KnowBe4. „Von da an würde das Konto den Bösewichtern gehören.“
Darüber hinaus warnte Kron, dass Angreifer, wenn sie die legitime E-Mail-Adresse eines von ihnen infiltrierten GitLab-Kontos ändern, den rechtmäßigen Kontoinhaber daran hindern könnten, sich anzumelden, oder dass sie die Funktion zur Passwortwiederherstellung verwenden könnten, um die E-Mail-Adresse wieder zu ändern.
CISA hat die Sicherheitslücke hinzugefügt, CVE-2023-7028, in den Katalog „Bekannte ausgenutzte Sicherheitslücken“ (KEV) als „GitLab Community and Enterprise Editions Improper Access Control Vulnerability“ aufgenommen. Die Behörde stellte fest, dass der Fehler mit einem CVSS-Schweregrad-Score von 10 von 10 den höchsten Schweregrad aufweist, und verlangt von den Behörden der Federal Civilian Executive Branch (FCEB), FCEB-Netzwerke gegen die aktive Bedrohung zu sanieren.
Sajeeb Lohani, leitender Direktor für Cybersicherheit bei Bugcrowd, sagte, dass es auch öffentlich verfügbare Exploits für den Bug gebe, Verteidiger sollten sich also nicht auf diesen verlassen.
„Da der Exploit selbst relativ einfach auszunutzen ist, ist die Eintrittsbarriere für den Exploit niedrig, was bedeutet, dass auch weniger erfahrene Hacker in der Lage sein werden, dieses Problem auszunutzen“, sagt er. „Einfach ausgedrückt ist dies ein Problem, das Sie umgehend beheben möchten.“
CVE-2023-7028: Risiko geschützter Daten und Codediebstahl
David Brumley, Professor für Cybersicherheit an der Carnegie Mellon und CEO von ForAllSecure, erklärt, dass für Unternehmen viel auf dem Spiel steht, da GitLab Quellcode und proprietäre Daten speichert.
„Es besteht immer die Gefahr, dass ein Angreifer auch Schadcode in die Lieferkette einschleust, aber das setzt voraus, dass die Änderungen nicht an anderer Stelle gemeldet werden“, erklärt er. „Während die Datenexfiltration in der Regel nicht auf andere Prüfungen stößt, besteht der Sinn einer Quellcodeverwaltungsplattform darin, dass Sie problemlos Code hinein und heraus auf lokale Computer übertragen können.“
Ich habe Organisationen, die ihre eigenen GitLab-Bereitstellungen verwalten, empfohlen, sicherzustellen, dass sie einen Plan für ein Upgrade auf eine gepatchte Version haben, sofern sie dies noch nicht getan haben.
„Wenn das nicht sofort möglich ist, sollten Abhilfemaßnahmen ergriffen werden“, sagt er. „Sie müssen sicherstellen, dass Sie eine regelmäßige Passwortrotation haben oder einen separaten Identitätsanbieter für die Authentifizierung verwenden.“
Größere Organisationen möchten möglicherweise auch Tools in Betracht ziehen, die anhand von Benutzeraktionen anomale Aktivitäten identifizieren können, die gefährdete Konten für die Quarantäne markieren könnten.
MFA und Zero Trust sind wirksame Gegenmaßnahmen
Die Abwehr dieser Art von Angriffen beruht auf Sicherheitsgrundlagen. Kron schlägt beispielsweise vor, dass eine der effektivsten Möglichkeiten, Angriffen wie unbefugten Passwortänderungen entgegenzuwirken, die Verwendung der Multifaktor-Authentifizierung (MFA) ist, die Angreifer nutzen Versuchen Sie immer wieder, es zu umgehen.
Er fügte hinzu, dass MFA zwar nicht unhackbar sei, aber den Kontoübernahmeprozess so komplex machen könne, dass böswillige Akteure scheitern könnten.
„Selbst wenn sie Ihr Passwort zurücksetzen könnten, könnten sie sich ohne den zweiten Faktor nicht anmelden“, sagt er. „Dies könnte sie daran hindern, die Wiederherstellungs-E-Mail-Adresse zu ändern, sodass sie den rechtmäßigen Kontoinhaber nicht aussperren können.“
Patrick Tiquet, Vizepräsident für Sicherheit und Architektur bei Keeper Security, stellt unterdessen fest, dass die effektivste Methode zur Verhinderung kontobasierter Cyberangriffe darin besteht, in ein zu investieren Zero-Trust- und Zero-Knowledge-Cybersicherheitsarchitektur Dadurch wird der Zugang eines böswilligen Akteurs eingeschränkt, wenn nicht sogar ganz verhindert.
Er sagt auch a Verwaltung privilegierter Zugriffe (PAM)-Lösung ist für IT-Administratoren und Sicherheitspersonal unerlässlich, um privilegierte Anmeldeinformationen zu verwalten und zu sichern und den Zugriff mit den geringsten Privilegien sicherzustellen.
„Darüber hinaus muss die Patch-Management-Strategie jeder Organisation eine schnelle Erkennung kritischer Schwachstellen mit hohem möglichen Schweregrad – wie dieser – ermöglichen, um sicherzustellen, dass sie sofort Maßnahmen ergreifen können“, sagt Tiquet.
