Une vulnérabilité de gravité maximale qui permet aux pirates de détourner des comptes GitLab sans aucune interaction de l’utilisateur est désormais activement exploitée, ont averti des responsables du gouvernement fédéral alors que les données montraient que des milliers d’utilisateurs n’avaient pas encore installé un correctif publié en janvier.
Un changement mis en œuvre par GitLab en mai 2023 a permis aux utilisateurs de lancer des modifications de mot de passe via des liens envoyés à des adresses e-mail secondaires. Cette décision a été conçue pour permettre les réinitialisations lorsque les utilisateurs n’avaient pas accès à l’adresse e-mail utilisée pour créer le compte. En janvier, GitLab a révélé que la fonctionnalité permettait aux attaquants d’envoyer des e-mails de réinitialisation aux comptes qu’ils contrôlaient, puis de cliquer sur le lien intégré et de prendre le contrôle du compte.
Même si les exploits ne nécessitent aucune interaction de l’utilisateur, les détournements ne fonctionnent que sur les comptes qui ne sont pas configurés pour utiliser l’authentification multifacteur. Même avec MFA, les comptes restent vulnérables aux réinitialisations de mot de passe, mais les attaquants ne peuvent finalement pas accéder au compte, ce qui permet au propriétaire légitime de modifier le mot de passe réinitialisé. La vulnérabilité, identifiée comme CVE-2023-7028, a un indice de gravité de 10 sur 10.
Mercredi, l’Agence américaine de cybersécurité et de sécurité des infrastructures a déclaré avoir connaissance de « preuves d’exploitation active » et a ajouté la vulnérabilité à sa liste de vulnérabilités exploitées connues. La CISA n’a fourni aucun détail sur les attaques sauvages. Un représentant de GitLab a refusé de fournir des détails sur l’exploitation active de la vulnérabilité.
La vulnérabilité, classée comme faille de contrôle d’accès inapproprié, pourrait constituer une menace grave. Le logiciel GitLab a généralement accès à plusieurs environnements de développement appartenant aux utilisateurs. En ayant la possibilité d’y accéder et d’introduire subrepticement des modifications, les attaquants pourraient saboter des projets ou installer des portes dérobées susceptibles d’infecter toute personne utilisant des logiciels construits dans l’environnement compromis. Un exemple d’attaque similaire sur la chaîne d’approvisionnement est celui qui a frappé SolarWinds en 2020 et a propagé des logiciels malveillants vers plus de 18 000 de ses clients, dont 100 ont été piratés par la suite. D’autres exemples récents d’attaques de chaîne d’approvisionnement se trouvent ici, ici et ici.
Ce genre d’attaques est puissant. En piratant une cible unique soigneusement sélectionnée, les attaquants obtiennent les moyens d’infecter des milliers d’utilisateurs en aval, souvent sans qu’ils n’aient à entreprendre la moindre action.
Selon les analyses Internet effectuées par l’organisation de sécurité Shadowserver, plus de 2 100 adresses IP ont montré qu’elles hébergeaient une ou plusieurs instances GitLab vulnérables.
Serveur fantôme
La plus grande concentration d’adresses IP se trouvait en Inde, suivie par les États-Unis, l’Indonésie, l’Algérie et la Thaïlande.
Serveur fantôme
Le nombre d’adresses IP affichant des instances vulnérables a diminué au fil du temps. Shadowserver montre qu’il y avait plus de 5 300 adresses le 22 janvier, une semaine après la publication du correctif par GitLab.
Serveur fantôme
La vulnérabilité est classée comme une faille de contrôle d’accès inapproprié.
La CISA a ordonné à toutes les agences fédérales civiles qui n’ont pas encore corrigé la vulnérabilité de le faire immédiatement. L’agence n’a fait aucune mention de MFA, mais tous les utilisateurs de GitLab qui ne l’ont pas déjà fait devraient l’activer, idéalement avec un formulaire conforme à la norme industrielle FIDO.
Les utilisateurs de GitLab doivent également se rappeler que les correctifs ne font rien pour sécuriser les systèmes qui ont déjà été piratés par des exploits. GitLab a publié ici des conseils sur la réponse aux incidents.