Hơn 5.300 máy chủ GitLab tiếp xúc với internet có nguy cơ bị khai thác CVE-2023-7028, một lỗ hổng cho phép chiếm đoạt tài khoản không yêu cầu bất kỳ tương tác của người dùng mà GitLab đã cảnh báo vào đầu tháng này.
Lỗ hổng nghiêm trọng (điểm CVSS: 10.0) cho phép kẻ tấn công gửi email đặt lại mật khẩu cho tài khoản bị nhắm mục tiêu đến địa chỉ email do kẻ tấn công kiểm soát, cho phép kẻ tấn công thay đổi mật khẩu và chiếm đoạt tài khoản.
Mặc dù lỗ hổng không cho phép vượt qua xác thực hai yếu tố (2FA), nhưng nó gây ra rủi ro đáng kể đối với những tài khoản không được bảo vệ bởi cơ chế bảo mật bổ sung này.
Vấn đề này ảnh hưởng đến GitLab Community và Enterprise Edition các phiên bản 16.1 trước 16.1.5, 16.2 trước 16.2.8, 16.3 trước 16.3.6, 16.4 trước 16.4.4, 16.5 trước 16.5.6, 16.6 trước 16.6.4 và 16.7 trước 16.7. 2.
GitLab đã phát hành các bản vá cho lỗ hổng trong phiên bản 16.7.2, 16.5.6 và 16.6.4, đồng thời triển khai bản sửa lỗi (backporting patche) cho các phiên bản 16.1.6, 16.2.9 và 16.3.7 vào ngày 11 tháng 1 năm 2024.
Hôm qua, 13 ngày sau khi các bản cập nhật bảo mật được cung cấp, dịch vụ giám sát mối đe dọa ShadowServer báo cáo rằng đã phát hiện 5.379 máy chủ GitLab dễ bị tấn công trực tuyến.
Với vai trò là nền tảng lập kế hoạch dự án và phát triển phần mềm cũng như loại và mức độ nghiêm trọng của lỗ hổng, các máy chủ GitLab này có nguy cơ bị tấn công chuỗi cung ứng, tiết lộ mã nguồn độc quyền, rò rỉ khóa API và các hoạt động độc hại khác.
Shadowserver cho biết hầu hết các máy chủ dễ bị tấn công nằm ở Mỹ (964), Đức (730), Nga (721), Trung Quốc (503), Pháp (298), Anh (122), Ấn Độ (117), và Canada (99).
Những máy chủ chưa được vá lỗi có thể đã bị xâm phạm, vì vậy việc sử dụng hướng dẫn ứng cứu sự cố của GitLab và kiểm tra các dấu hiệu xâm phạm là rất quan trọng.
Trước đó, GitLab đã chia sẻ các cách giúp phát hiện đấu hiệu bị khai thác, bao gồm:
- Kiểm tra tệp gitlab-rails/production_json.log để tìm các yêu cầu HTTP tới đường dẫn /users/password với params.value.email bao gồm một mảng JSON với nhiều địa chỉ email.
- Kiểm tra tệp gitlab-rails/audit_json.log để tìm các dữ liệu có meta.caller.id của PasswordsController#create và target_details bao gồm một mảng JSON với nhiều địa chỉ email.
Quản trị viên phát hiện các trường hợp bị xâm phạm nên thay đổi tất cả thông tin xác thực, các API token, chứng chỉ và bất kỳ thông tin bí mật (secret) nào khác, đồng thời kích hoạt 2FA trên tất cả các tài khoản và áp dụng bản cập nhật bảo mật.
Sau khi bảo mật máy chủ, quản trị viên nên kiểm tra các thay đổi trong môi trường phát triển của họ, bao gồm cả mã nguồn và các tệp có khả năng bị giả mạo.
Nguồn: bleepingcomputer.com
Tín nhiệm mạng | Hai package độc hại trên hệ thống quản lý package NPM được phát hiện đã lợi dụng GitHub để lưu trữ các khóa SSH được mã hóa Base64 bị đánh cắp từ hệ thống của các nhà phát triển.
Tín nhiệm mạng | Thứ Hai vừa qua, Ủy ban Chứng khoán và giao dịch của Mỹ đã xác nhận rằng tài khoản X của họ đã bị hack thông qua một cuộc tấn công hoán đổi SIM vào số điện thoại di động được liên kết với tài khoản.
Tín nhiệm mạng | Hôm qua, Apple đã phát hành bản cập nhật bảo mật cho trình duyệt web iOS, iPadOS, macOS, tvOS và Safari để giải quyết lỗ hổng zero-day đang bị khai thác trong thực tế.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện các hoạt động khai thác lỗ hổng thực thi mã từ xa CVE-2023-22527 ảnh hưởng đến các phiên bản lỗi thời của máy chủ Atlassian Confluence.
Tín nhiệm mạng | Các ứng dụng vi phạm bản quyền nhắm vào người dùng macOS được phát hiện có chứa một backdoor có khả năng cung cấp cho kẻ tấn công quyền điều khiển từ xa trên các máy bị nhiễm.
Tín nhiệm mạng | Các tác nhân đe dọa đang sử dụng TeamViewer để giành quyền truy cập ban đầu vào các thiết bị và cố gắng mã hóa dữ liệu trên các thiết bị bị xâm phạm bằng phần mềm ransomware.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
