I ricercatori di sicurezza informatica hanno rivelato i dettagli di un difetto di sicurezza ora corretto in GitLab, una piattaforma DevOps open source. Questa vulnerabilità può consentire a un utente malintenzionato remoto non autenticato di recuperare i dati relativi agli utenti.
Si tratta di un problema di gravità media e tracciato come CVE-2021-4191 (punteggio CVSS di 5,3). Questa debolezza riguarda tutte le versioni di GitLab Community Edition ed Enterprise Edition a partire dalla 13.0, nonché tutte le versioni a partire dalla 14.4 e precedenti alla 14.8.
Jake Baines, ricercatore di sicurezza senior presso Rapid7, è sembra essere stato il prima ad aver identificato e segnalato la vulnerabilità. Sono state rilasciate delle patch come parte delle versioni di sicurezza critiche di GitLab 14.8.2, 14.7.4 e 14.6.5 il 25 febbraio 2022, dopo una esposizione del problema agli interessati il 18 novembre 2021.
“La vulnerabilità è il risultato di un controllo di autenticazione mancante durante l’esecuzione di alcune query API GitLab GraphQL”, ha dichiarato in un rapporto pubblicato giovedì. “Un utente malintenzionato remoto e non autenticato può utilizzare questa vulnerabilità per raccogliere nomi utente, dati di registrazione e indirizzi e-mail degli account GitLab.”
Nel caso in cui si riesca a sfruttare il bug, gli attori malevoli possono enumerare e assemblare elenchi di nomi utente autentici appartenenti ad un obiettivo, che possono essere utilizzati come trampolino di lancio per attacchi di forza bruta come password guessing, password spraying, e credential stuffing. Secondo Baines, la violazione delle informazioni potrebbe anche consentire a un utente malintenzionato di creare un nuovo elenco di parole utente basato sulle installazioni di GitLab, non solo da gitlab.com ma anche dalle altre 50.000 istanze di GitLab accessibili tramite Internet.
La patch risolve anche altri sei punti deboli della sicurezza, uno dei quali è un difetto considerato grave (CVE-2022-0735, punteggio CVSS di 9,6) che consente a un utente malintenzionato di rubare i token di registrazione necessari per autenticare e approvare le attività CI/CD ospitate su Istanze GitLab.