ԱՄՆ Կիբերանվտանգության և ենթակառուցվածքների անվտանգության գործակալությունն (CISA) իր հայտնի շահագործվող խոցելիությունների (KEV) կատալոգում GitLab-ի վրա ազդող ևս մեկ կրիտիկական խոցելիություն է ավելացրել, որը վերջին շրջանում նկատելի է դարձել լայնամասշտաբ թիրախներում։
Որակվելով որպես CVE-2023-7028 (CVSS գնահատման համակարգում միավորը՝ 10.0), այս կրիտիկական խոցելիությունը կարող է նպաստել օգտատերերի օգտահաշիվների յուրացմանը։
GitLab-ը, որը վերջերս բացահայտեց խոցելիության բոլոր մանրամասները, նշում է, որ այն ներկայացվել է որպես 16.1.0 տարբերակի կոդի փոփոխության մի մաս։
«Հաքերը, ով մուտք է ստանում CI/CD pipeline կոնֆիգուրացիա, կարող է malicious code տեղադրել ներքին համակարգում, ինչ էլ նախատեսված է կոնֆիդենցիալ տվյալների, ինչպիսիք են՝ անձնական նույնականացման տվյալները (PII), առևանգման համար», – նշում է Mitiga cloud–ային անվտանգության ընկերությունը։
«Նույն տրամաբանությամբ repository code–ը ևս կարող է malware ծրագրեր պարունակել, որոնք կարող են վտանգի ենթարկել համակարգի ամբողջականությունն ու կոնֆիդենցիալությունը։ Malicious ծածկագրերի չարաշահումը կարող է հանգեցնել տվյալների գողության, կոդի խափանումների և հաքերների չարտոնված մուտքի»:
Ներկա պահին խոցելիությունը վերացվել է GitLab-ի՝ 16.5.6, 16.6.4 և 16.7.2 տարբերակներում։
CISA-ն պետք է դեռև այլ մանրամասներ տրամադրի, թե ինչպես է խոցելիությունը օգտագործվում լայնամասշտաբ հարձակումներում:
Աղբյուր՝ https://thehackernews.com/