29/01/2567

GitLab server กว่า 5,300 รายการ เสี่ยงถูกโจมตีจากช่องโหว่ Zero-Click Account Takeover


    GitLab instance กว่า 5,300 รายการ ที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต ซึ่งทำให้มีความเสี่ยงต่อช่องโหว่ CVE-2023-7028 (zero-click account takeover attacks) ที่ทาง GitLab ออกมาแจ้งเตือนเมื่อต้นเดือนมกราคม 2024 เป็นช่องโหว่ที่ทำให้สามารถส่งอีเมลรีเซ็ตรหัสผ่านของบัญชีเป้าหมายไปยังที่อยู่อีเมลของผู้ไม่ประสงค์ดีได้ ทำให้ผู้ไม่ประสงค์ดีสามารถเปลี่ยนรหัสผ่าน และยึดบัญชีเป้าหมายได้ ถึงแม้ว่าช่องโหว่ดังกล่าวจะไม่สามารถหลีกเลี่ยงการตรวจสอบสิทธิแบบ two-factor authentication (2FA) ได้ แต่ก็ถือว่ามีความเสี่ยงที่ช่องโหว่ดังกล่าวจะสามารถโจมตีได้ หากเป้าหมายไม่ได้เปิดใช้งาน 2FA
ช่องโหว่ CVE-2023-7028 ส่งผลกระทบต่อ GitLab Community and Enterprise Edition เวอร์ชันดังนี้
  • 16.1 before 16.1.5
  • 16.2 before และ 16.2.8
  • 16.3 before และ 16.3.6
  • 16.4 before และ 16.4.4
  • 16.5 before และ 16.5.6
  • 16.6 before และ 16.6.4
  • 16.7 before และ 16.7.2
    โดยทาง GitLab ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้วในเวอร์ชัน 16.7.2, 16.5.6 และ 16.6.4 รวมถึง backporting patch เป็น 16.1.6, 16.2.9 และ 16.3.7 ในวันที่ 11 มกราคม 2024
ปัจจุบัน ShadowServer ได้รายงานว่าพบ GitLab instance 5,379 รายการที่มีความเสี่ยงต่อช่องโหว่ดังกล่าว ที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ตอยู่ในปัจจุบัน
    โดย GitLab instance มีความสำคัญในฐานะที่เป็นแพลตฟอร์มการพัฒนาซอฟต์แวร์ และการวางแผนโครงการ รวมถึงระดับความรุนแรงของช่องโหว่ดังกล่าวยังสูงมากอีกด้วย ทำให้มีความเสี่ยงต่อการโจมตีแบบ supply chain attacks, การเปิดเผยข้อมูล proprietary code, การรั่วไหลของ API key และกิจกรรมที่เป็นอันตรายอื่น ๆ
    Shadowserver รายงานว่าเซิร์ฟเวอร์ที่มีช่องโหว่ส่วนใหญ่อยู่ในสหรัฐอเมริกา 964 รายการ ตามด้วยเยอรมนี 730 รายการ รัสเซีย 721 รายการ จีน 503 รายการ ฝรั่งเศส 298 รายการ สหราชอาณาจักร 122 รายการ อินเดีย 117 รายการ และแคนาดา 99 รายการ


    ทั้งนี้ GitLab ได้แนะนำให้ผู้ที่ใช้อุปกรณ์ที่มีช่องโหว่ ทำการตรวจสอบสัญญาณของการโจมตี โดยได้แบ่งปันวิธีการการตรวจจับดังต่อไปนี้
Check gitlab-rails/production_json.log for HTTP requests to the /users/password path with params.value.email consisting of a JSON array with multiple email addresses.
Check gitlab-rails/audit_json.log for entries with meta.caller.id of PasswordsController#create and target_details consisting of a JSON array with multiple email addresses.
    รวมถึงหากผู้ดูแลระบบพบว่าอุปกรณ์ของตนได้ถูกโจมตีไปแล้ว ให้รีบทำการเปลี่ยนข้อมูลประจำตัว, API tokens, certificates และข้อมูลที่เป็นความลับอื่น ๆ ทั้งหมด และเปิดใช้งาน 2FA ในทุกบัญชี และทำการอัปเดตแพตซ์ด้านความปลอดภัยเพื่อป้องกันช่องโหว่ดังกล่าว
    นอกจากนี้แนะนำให้ทำการตรวจสอบการแก้ไขใน developer environment รวมถึงซอร์สโค้ด และไฟล์ที่อาจถูกดัดแปลงจากการโจมตี ทั้งนี้ปัจจุบันยังไม่มีรายงานการพบการโจมตีจากช่องโหว่ CVE-2023-7028 อย่างเป็นทางการ

ที่
ป้ายกำกับ: , ,

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)