7月10日，GitLab警告稱，其產品GitLab社區和企業版本中存在一個嚴重漏洞，允許攻擊者以任何其他用戶的身份運行管道作業。

GitLab DevSecOps平臺擁有3000多萬注冊用戶，活躍用戶數僅次于 GitHub，超過50%的財富100強公司都在使用該平臺，包括T-Mobile、高盛、空客、洛克希德·馬丁、英偉達和瑞銀。

在昨天發布的安全更新中，修補的漏洞被追蹤為CVE-2024-6385，CVSS評分為9.6分(滿分10分)。它影響所有GitLab CE/EE版本，從15.8到16.11.6，17.0到17.0.4，17.1到17.1.2。

在GitLab尚未披露漏洞某些信息的情況下，攻擊者可以利用該漏洞作為任意用戶觸發新的管道。GitLab管道是一個持續集成/持續部署(CI/CD)系統功能，允許用戶自動并行或順序運行流程和任務，以構建、測試或部署代碼更改。

為解決這一嚴重安全漏洞，GitLab發布了GitLab社區和企業版本17.1.2、17.0.4和16.11.6。該公司強烈建議所有安裝運行受以上問題影響的版本盡快升級到最新版本，GitLab.com和GitLab Dedicated已經在運行補丁版本。

賬戶接管漏洞在攻擊中被積極利用

6月底，GitLab修復了一個與CVE-2024-6385幾乎相同的漏洞CVE-2024-5655，該漏洞也可能被利用來作為其他用戶運行管道。

一個月前，GitLab還修復了一個高嚴重性漏洞CVE-2024-4835，該漏洞允許未經身份驗證的攻擊者在跨站點腳本(XSS)攻擊中接管帳戶。

5月份，CISA發出警告，未經身份驗證的攻擊者也在積極利用1月份修補的另一個零點擊GitLab漏洞CVE-2023-7028通過重置密碼來劫持帳戶。

今年1月，Shadowserver發現5300多個易受攻擊的GitLab實例暴露在網絡上，目前仍有不到一半(1795個)的實例可以訪問。

攻擊者以GitLab為目標，大概率是因為它托管各種類型的企業敏感數據，包括API密鑰和專有代碼，一旦遭到破壞，托管項目的完整性和機密性將面臨重大風險。

這包括供應鏈攻擊，如果威脅行為者在CI/CD(持續集成/持續部署)環境中插入惡意代碼，被破壞組織的存儲庫岌岌可危。

參考來源：

• https://www.bleepingcomputer.com/news/security/gitlab-warns-of-critical-bug-that-lets-attackers-run-pipelines-as-an-arbitrary-user/
• https://www.darkreading.com/application-security/critical-gitlab-bug-threatens-software-development-pipelines