Een security-lek in GitLab dat begin dit jaar werd ontdekt, wordt ondertussen gretig geëxploiteerd. Duizenden gebruikers installeerden nog niet de patch die sinds januari beschikbaar is.
Het securityrisico vindt zijn oorsprong in mei vorig jaar toen een update van GitLab het mogelijk maakte voor gebruikers om hun paswoord van op een tweede email-adres te resetten. In januari liet het softwarebedrijf weten dat dit hackers de mogelijkheid gaf om van op mailadressen onder hun controle een account over te nemen – toch als die geen multifactor authentication vereiste. Zelfs met MFA bleef de kwetsbaarheid, maar kregen hackers geen toegang tot een account.
Achterpoortjes
Hoewel GitLab bij de bekendmaking begin dit jaar meteen een patch ter beschikking stelde, blijken veel gebruikers die nog niet geïnstalleerd te hebben. Het lek wordt ondertussen dan ook grondig geëxploiteerd, laat het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid weten.
Aangezien de software van GitLab toegang heeft tot de verschillende ontwikkelomgevingen van gebruikers, kunnen aanvallers zo projecten saboteren, veranderen, of zelfs achterpoortjes installeren in software die daarin wordt ontwikkeld.
Vooral India
Volgens internetscans van Shadowserver zouden al meer dan 2.100 IP-adressen dat een of meerdere kwetsbare GitLab-instances hosten. Het merendeel daarvan is in India gevestigd, maar ook veel Amerikaanse, Indonesische, Algerijnse en Thaise adressen vertonen kwetsbaarheden. Volgens Shadowserver is dat echter al een flinke daling tegenover 22 januari, een week nadat GitLab de patch beschikbaar maakte, toen er nog 5.300 kwetsbare adressen gedetecteerd werden.
Hoewel de patch overname van een account verhindert, verhelpt ze niets aan systemen die al geëxploiteerd worden. Het bedrijf heeft een gids ter beschikking gesteld om met zo’n incidenten om te gaan.
