GitLab ha emitido una advertencia sobre una vulnerabilidad crítica en sus ediciones Community y Enterprise, que permite a los atacantes ejecutar trabajos de pipeline como cualquier otro usuario. Esta plataforma DevSecOps, utilizada por más de 30 millones de usuarios y más del 50% de las empresas Fortune 100, incluyendo T-Mobile, Goldman Sachs, Airbus, Lockheed Martin, Nvidia y UBS, se ha visto afectada por un fallo de seguridad grave.
El fallo, identificado como CVE-2024-6385, ha recibido una puntuación de severidad CVSS de 9.6 sobre 10. Afecta a todas las versiones de GitLab CE/EE desde la 15.8 hasta la 16.11.6, 17.0 hasta la 17.0.4, y 17.1 hasta la 17.1.2. Bajo ciertas circunstancias aún no divulgadas por GitLab, los atacantes pueden explotarlo para desencadenar un nuevo pipeline como un usuario arbitrario.
Los pipelines de GitLab son una característica del sistema de Integración Continua/Despliegue Continuo (CI/CD) que permite a los usuarios ejecutar automáticamente procesos y tareas en paralelo o secuencialmente para construir, probar o desplegar cambios en el código.
Para abordar esta grave falla de seguridad, la empresa ha lanzado las versiones 17.1.2, 17.0.4 y 16.11.6 de GitLab Community y Enterprise, y ha instado a todos los administradores a actualizar sus instalaciones de inmediato. “Recomendamos encarecidamente que todas las instalaciones que ejecutan una versión afectada por los problemas descritos a continuación se actualicen a la última versión lo antes posible”, advirtió la compañía. “GitLab.com y GitLab Dedicated ya están ejecutando la versión parcheada.”
Esta vulnerabilidad se suma a otras similares que GitLab ha parcheado recientemente. En junio, GitLab solucionó una vulnerabilidad casi idéntica (CVE-2024-5655) que también permitía ejecutar pipelines como otros usuarios. En mayo, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) advirtió sobre otra vulnerabilidad (CVE-2023-7028), que permitía a atacantes no autenticados secuestrar cuentas a través de reinicios de contraseñas.
En enero, la organización Shadowserver encontró más de 5,300 instancias vulnerables de GitLab expuestas en línea, de las cuales menos de la mitad (1,795) siguen siendo accesibles hoy en día.
Los atacantes apuntan a GitLab debido a la gran cantidad de datos corporativos sensibles que alberga, incluidos claves API y código propietario. Esto puede llevar a importantes impactos de seguridad tras una brecha, incluyendo ataques a la cadena de suministro si los actores de amenazas insertan código malicioso en entornos CI/CD, comprometiendo los repositorios de la organización afectada.
Conclusión:
Es imperativo que todas las organizaciones que utilizan GitLab actualicen sus sistemas a las últimas versiones parcheadas para mitigar el riesgo de explotación de esta vulnerabilidad crítica. La rapidez y la diligencia en la actualización pueden ser cruciales para proteger los datos corporativos y evitar posibles brechas de seguridad significativas.
