🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Cổng thông tin điện tử tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                    🔥 UBND phường Chánh Mỹ, Tp Thủ Dầu Một đã đăng ký tín nhiệm. 🔥                    🔥 UBND phường Định Hoà, Tp Thủ Dầu Một đã đăng ký tín nhiệm. 🔥                   

Hơn 5.300 máy chủ GitLab vẫn có nguy cơ bị tấn công chiếm đoạt tài khoản

25/01/2024

Hơn 5.300 máy chủ GitLab tiếp xúc với internet có nguy cơ bị khai thác CVE-2023-7028, một lỗ hổng cho phép chiếm đoạt tài khoản không yêu cầu bất kỳ tương tác của người dùng mà GitLab đã cảnh báo vào đầu tháng này.

Lỗ hổng nghiêm trọng (điểm CVSS: 10.0) cho phép kẻ tấn công gửi email đặt lại mật khẩu cho tài khoản bị nhắm mục tiêu đến địa chỉ email do kẻ tấn công kiểm soát, cho phép kẻ tấn công thay đổi mật khẩu và chiếm đoạt tài khoản.

Mặc dù lỗ hổng không cho phép vượt qua xác thực hai yếu tố (2FA), nhưng nó gây ra rủi ro đáng kể đối với những tài khoản không được bảo vệ bởi cơ chế bảo mật bổ sung này.

Vấn đề này ảnh hưởng đến GitLab Community và Enterprise Edition các phiên bản 16.1 trước 16.1.5, 16.2 trước 16.2.8, 16.3 trước 16.3.6, 16.4 trước 16.4.4, 16.5 trước 16.5.6, 16.6 trước 16.6.4 và 16.7 trước 16.7. 2.

GitLab đã phát hành các bản vá cho lỗ hổng trong phiên bản 16.7.2, 16.5.6 và 16.6.4, đồng thời triển khai bản sửa lỗi (backporting patche) cho các phiên bản 16.1.6, 16.2.9 và 16.3.7 vào ngày 11 tháng 1 năm 2024.

Hôm qua, 13 ngày sau khi các bản cập nhật bảo mật được cung cấp, dịch vụ giám sát mối đe dọa ShadowServer báo cáo rằng đã phát hiện 5.379 máy chủ GitLab dễ bị tấn công trực tuyến.

Với vai trò là nền tảng lập kế hoạch dự án và phát triển phần mềm cũng như loại và mức độ nghiêm trọng của lỗ hổng, các máy chủ GitLab này có nguy cơ bị tấn công chuỗi cung ứng, tiết lộ mã nguồn độc quyền, rò rỉ khóa API và các hoạt động độc hại khác.

Shadowserver cho biết hầu hết các máy chủ dễ bị tấn công nằm ở Mỹ (964), Đức (730), Nga (721), Trung Quốc (503), Pháp (298), Anh (122), Ấn Độ (117), và Canada (99).

Những máy chủ chưa được vá lỗi có thể đã bị xâm phạm, vì vậy việc sử dụng hướng dẫn ứng cứu sự cố của GitLab và kiểm tra các dấu hiệu xâm phạm là rất quan trọng.

Trước đó, GitLab đã chia sẻ các cách giúp phát hiện đấu hiệu bị khai thác, bao gồm:

- Kiểm tra tệp gitlab-rails/production_json.log để tìm các yêu cầu HTTP tới đường dẫn /users/password với params.value.email bao gồm một mảng JSON với nhiều địa chỉ email.

- Kiểm tra tệp gitlab-rails/audit_json.log để tìm các dữ liệu có meta.caller.id của PasswordsController#create và target_details bao gồm một mảng JSON với nhiều địa chỉ email.

Quản trị viên phát hiện các trường hợp bị xâm phạm nên thay đổi tất cả thông tin xác thực, các API token, chứng chỉ và bất kỳ thông tin bí mật (secret) nào khác, đồng thời kích hoạt 2FA trên tất cả các tài khoản và áp dụng bản cập nhật bảo mật.

Sau khi bảo mật máy chủ, quản trị viên nên kiểm tra các thay đổi trong môi trường phát triển của họ, bao gồm cả mã nguồn và các tệp có khả năng bị giả mạo.

Nguồn: bleepingcomputer.com

scrolltop