GitLab ha solucionado una falla crítica en varias versiones de su plataforma que, si se explota con éxito, podría permitir a los atacantes apoderarse de cuentas sin interacción del usuario.
La falla (CVE-2023-7028) se debe al hecho de que los correos electrónicos para restablecer la contraseña de la cuenta de usuario pueden enviarse a direcciones de correo electrónico no verificadas. GitLab Community Edition (CE) y Enterprise Edition (EE), versiones 16.1 a 16.1.5, 16.2 a 16.2.8, 16.3 a 16.3.6, 16.4 a 16.4.4, 16.5 a 16.5.5, 16.6 a 16.6.3 y 16.7 a 16.7.1 se ven afectados.
«Dentro de estas versiones, todos los mecanismos de autenticación se ven afectados», según Greg Myers, ingeniero de seguridad de GitLab, en una actualización de seguridad del jueves. «Además, los usuarios que tienen habilitada la autenticación de dos factores son vulnerables al restablecimiento de la contraseña, pero no a la apropiación de la cuenta, ya que se requiere su segundo factor de autenticación para iniciar sesión».
GitLab, la aplicación de gestión de lanzamientos para proyectos de software basados en git, no ha observado ninguna explotación de la falla en las plataformas administradas por GitLab, incluidas GitLab.com y las instancias dedicadas de GitLab. La falla se introdujo en la versión 16.1.0 en mayo de 2023 y se informó a través del programa de recompensas por errores de GitLab.
«La vulnerabilidad es el resultado de un error en el proceso de verificación del correo electrónico», dijo Myers. «El error se solucionó con este parche y… hemos implementado una serie de medidas de seguridad preventivas para proteger a los clientes».
GitLab dijo que la solución también se trasladó a las versiones 16.1.6, 16.2.9, 16.3.7, 16.4.5, 16.5.6, 16.6.4 y 16.7.2.
GitLab alienta a los usuarios finales y clientes empresariales afectados a actualizar y habilitar la autenticación de dos factores para todas las cuentas de GitLab, especialmente las cuentas de administrador. Además, los clientes autoadministrados deben verificar sus registros para detectar posibles intentos de explotación.
«Un atacante no podrá tomar el control de su cuenta si tiene 2FA habilitado», según el comunicado de GitLab. “Aún podrán restablecer su contraseña, pero no podrán acceder a su método de autenticación de segundo factor. Si de repente se le redirige para iniciar sesión o ve que se activa un correo electrónico de restablecimiento, restablezca su contraseña”.
Esta semana, GitLab también lanzó parches para un segundo problema de gravedad crítica que podría permitir a los actores de amenazas abusar de las integraciones de Slack/Mattermost para ejecutar comandos «barra» como otro usuario (CVE-2023-5356); y una falla de alta gravedad que permite a los atacantes eludir la aprobación de CODEOWNERS agregando cambios a una solicitud de fusión previamente aprobada (CVE-2023-4812). Esto podría permitir a los atacantes eludir los mecanismos de seguridad, pero se requiere la interacción del usuario para una explotación exitosa.
