不用加班修!GitLab漏洞利用条件比较多

admin 2024年1月14日15:05:14评论38 views字数 1633阅读5分26秒阅读模式

不用加班修!GitLab漏洞利用条件比较多

01 漏洞概况

GitLab是一个开源的仓库管理系统,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。它类似于GitHub,能够浏览源代码,管理缺陷和注释。

近日微步在线漏洞团队监测到GitLab存在任意用户密码重置漏洞(CVE-2023-7028)情报,当GitLab启用邮箱登录、启用SMTP,攻击者如果掌握一个准确的邮箱账户的条件下,可以利用该漏洞重置该账户的密码。

经研判,该漏洞结合账户邮箱泄露等其他场景组合攻击,有一定的利用门槛,可根据实际情况酌情处置。

02 漏洞处置优先级(VPT)

综合处置优先级:

漏洞编号

微步编号

XVE-2023-37347

漏洞评估

危害评级

中危

漏洞类型

任意用户密码重置

公开程度

PoC未公开

利用条件

1.GitLab启用邮箱登录

2.GitLab启用SMTP

3.攻击者需要掌握准确的Gitlab邮箱账户

交互要求

0-click

威胁类型

远程

利用情报

微步已捕获攻击行为

暂无

03 漏洞影响范围 

产品名称

GitLab-GitLab CE/EE

受影响版本

16.1 <= version < 16.1.6
16.2 <= version < 16.2.9
16.3 <= version < 16.3.7
16.4 <= version < 16.4.5
16.5 <= version < 16.5.6
16.6 <= version < 16.6.4
16.7 <= version < 16.7.2

影响范围

(可能)万级

有无修复补丁

04 漏洞复现 

当Gitlab启用邮箱登录、启用SMTP时:

1.向密码重置接口发送payload,此步骤需要掌握一个已知邮箱账户

不用加班修!GitLab漏洞利用条件比较多

2.“攻击者邮箱”收到该账户密码的重置邮件

不用加班修!GitLab漏洞利用条件比较多

05 攻击排查方法 

•排查gitlab-rails/production_json.log日志中是否有访问/users/password接口,且参数中包含多个邮件地址

•排查gitlab-rails/audit_json.log日志中是否有PasswordsController#create的调用记录,且参数中包含多个邮件地址

06 修复方案

1、官方修复方案


目前官方已发布最新补丁,请尽快前往下载更新:https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/#account-takeover-via-password-reset-without-user-interactions

2、临时修复方案:
非必要,不要将GitLab开放到公网
如果GitLab开放到公网,可为所有 GitLab 帐户启用双因素身份验证

07 微步在线产品侧支持情况  

(1)微步在线威胁感知平台TDP已支持检测,规则ID为 S3100138216

不用加班修!GitLab漏洞利用条件比较多

08 时间线 

2024.01.12 微步漏洞团队获取该漏洞相关情报

2024.01.12 TDP支持检测

2024.01.12 微步发布报告

---End---

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务,精准、高效助力企业漏洞运营
  • 提供高价值漏洞情报,具备及时、准确、全面和可操作性,帮助企业高效应对漏洞应急与日常运营难题;
  • 可实现对高威胁漏洞提前掌握,以最快的效率解决信息差问题,缩短漏洞运营MTTR;
  • 提供漏洞完整的技术细节,更贴近用户漏洞处置的落地;
  • 将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合,对漏洞的实际风险进行持续动态更新
扫码在线沟通
↓↓
不用加班修!GitLab漏洞利用条件比较多
不用加班修!GitLab漏洞利用条件比较多
点此电话咨询

X 漏洞奖励计划

“X漏洞奖励计划”是微步X情报社区推出的一款针对未公开漏洞的奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。

活动详情:https://x.threatbook.com/v5/vulReward

原文始发于微信公众号(微步在线研究响应中心):不用加班修!GitLab漏洞利用条件比较多

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月14日15:05:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   不用加班修!GitLab漏洞利用条件比较多https://cn-sec.com/archives/2387287.html

发表评论

匿名网友 填写信息