Được gắn mã theo dõi là CVE-2023-7028 (điểm CVSS 10.0), đây là một lỗ hổng nghiêm trọng có thể cho phép các tác nhân đe dọa không được xác thực từ xa gửi email đặt lại mật khẩu đến các tài khoản email dưới sự kiểm soát của chúng để thay đổi mật khẩu và chiếm đoạt các tài khoản mục tiêu mà không có sự tương tác từ phía người dùng.
GitLab lưu trữ dữ liệu nhạy cảm, bao gồm cả khóa API. Việc khai thác thành công lỗ hổng CVE-2023-7028 có thể gây ra hậu quả nghiêm trọng vì nó không chỉ cho phép kẻ tấn công chiếm quyền kiểm soát tài khoản người dùng GitLab mà còn đánh cắp thông tin nhạy cảm, thông tin xác thực và thậm chí cả kho lưu trữ mã nguồn độc hại bằng mã độc, dẫn đến các cuộc tấn công chuỗi cung ứng.
Ví dụ, kẻ tấn công có quyền truy cập vào cấu hình CI/CD có thể nhúng mã độc được thiết kế để đánh cắp dữ liệu nhạy cảm, chẳng hạn như Thông tin nhận dạng cá nhân (PII) hoặc mã thông báo xác thực, chuyển hướng chúng đến máy chủ do kẻ tấn công kiểm soát.
Tương tự như vậy, việc giả mạo mã kho lưu trữ có thể liên quan đến việc chèn phần mềm độc hại làm tổn hại đến tính toàn vẹn của hệ thống hoặc cung cấp backdoor để truy cập trái phép.
Hiện tại, CISA chưa chia sẻ bất kỳ thông tin nào liên quan đến các cuộc tấn công đang diễn ra khai thác lỗi bảo mật GitLab có mức độ nghiêm trọng tối đa này, nhưng cơ quan này xác nhận rằng không có bằng chứng nào cho thấy nó đang được sử dụng trong các cuộc tấn công mã độc tống tiền.
CISA lưu ý, điều quan trọng là cần phải vá các hệ thống có tài khoản không được bảo vệ bằng biện pháp xác thực hai yếu tố (2FA), bởi các tin tặc sẽ không thể khai thác lỗ hổng để chiếm đoạt đối với các tài khoản bật tính năng xác thực bổ sung này.
Lỗ hổng CVE-2023-7028 ảnh hưởng đến các phiên bản GitLab Community và Enterprise. GitLab đã sửa lỗi này trong phiên bản 16.7.2, 16.5.6 và 16.6.4.
CISA hiện vẫn chưa cung cấp bất kỳ chi tiết nào khác về cách lỗ hổng này bị khai thác trên thực tế. Do tình trạng lạm dụng lỗ hổng đang diễn ra, CISA khuyến nghị các tổ chức cần phải áp dụng các bản sửa lỗi mới nhất trước ngày 22/5 để ngăn chặn các cuộc tấn công tiềm tàng.
Hồng Đạt
(Tổng hợp)
10:00 | 17/05/2024
13:00 | 17/04/2024
09:00 | 15/05/2024
09:00 | 04/03/2024
08:00 | 06/02/2024
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
10:00 | 22/04/2024
Ngày 16/4, nhiều người dùng Facebook tại Việt Nam phản ánh về tình trạng không hiện thị các bài đăng trên trang cá nhân. Trong khi đó, nội dung vẫn được phân phối trên bảng tin bình thường.
09:00 | 19/03/2024
Trong phiên bản thứ 9 của Synopsys, báo cáo Open Source Security and Risk Analysis (OSSRA) năm 2024 mang đến cái nhìn sâu rộng về tình hình hiện tại của an ninh mã nguồn mở, sự tuân thủ, cấp phép và các rủi ro về chất lượng mã nguồn trong phần mềm thương mại.
08:00 | 01/03/2024
Google đã trả hơn 10 triệu USD cho 632 nhà nghiên cứu phát hiện lỗ hổng bảo mật trong chương trình Săn lỗi nhận thưởng của trong năm 2023.
Ngày 8/5, Intel cho biết doanh số bán hàng của công ty sẽ bị ảnh hưởng sau khi Mỹ thu hồi một số giấy phép xuất khẩu của nhà sản xuất chip này đối với một khách hàng ở Trung Quốc.
16:00 | 18/05/2024