GitLab repareert kritieke fout die ongeautoriseerde pijplijntaken mogelijk maakt

GitLab heeft een nieuwe reeks updates uitgebracht om beveiligingslekken in zijn softwareontwikkelingsplatform te dichten, waaronder een kritieke bug waarmee een aanvaller pijplijntaken kan uitvoeren als een willekeurige gebruiker.

De kwetsbaarheid wordt getraceerd als CVE-2024-6385 en heeft een CVSS-score van 9,6 uit maximaal 10,0.

“Er is een probleem ontdekt in GitLab CE/EE dat betrekking heeft op versies 15.8 vóór 16.11.6, 17.0 vóór 17.0.4 en 17.1 vóór 17.1.2, waardoor een aanvaller onder bepaalde omstandigheden een pijplijn kan activeren als een andere gebruiker”, aldus het bedrijf woensdag in een waarschuwing.

Het is de moeite waard om op te merken dat het bedrijf eind vorige maand een soortgelijke bug heeft gepatcht (CVE-2024-5655, CVSS-score: 9,6) die ook kon worden ingezet om pipelines uit te voeren terwijl andere gebruikers dat deden.

GitLab heeft ook een probleem met gemiddelde ernst opgelost (CVE-2024-5257, CVSS-score: 4,9) waardoor een ontwikkelaar met admin_compliance_framework-machtigingen de URL voor een groepsnaamruimte kan wijzigen.

Alle beveiligingsproblemen zijn opgelost in GitLab Community Edition (CE) en Enterprise Edition (EE) versies 17.1.2, 17.0.4 en 16.11.6.

De bekendmaking vindt plaats terwijl Citrix updates uitbrengt voor een kritieke, onjuiste authenticatiefout die gevolgen heeft voor NetScaler Console (voorheen NetScaler ADM), NetScaler SDX en NetScaler Agent (CVE-2024-6235, CVSS-score: 9,4) en die kan leiden tot openbaarmaking van informatie.

Broadcom heeft ook patches uitgebracht voor twee injectiekwetsbaarheden van gemiddelde ernst in VMware Cloud Director (CVE-2024-22277, CVSS-score: 6,4) en VMware Aria Automation (CVE-2024-22280, CVSS-score: 8,5). Deze kwetsbaarheden kunnen worden misbruikt om schadelijke code uit te voeren met behulp van speciaal vervaardigde HTML-tags en SQL-query’s.

CISA publiceert bulletins om softwarefouten aan te pakken

De ontwikkelingen volgen ook op een nieuw bulletin van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de Federal Bureau of Investigation (FBI) waarin technologiefabrikanten worden opgeroepen om fouten in de command injection in software van besturingssystemen te verwijderen. Deze fouten maken het kwaadwillenden mogelijk om op afstand code uit te voeren op apparaten aan de rand van het netwerk.

Dergelijke fouten ontstaan ​​wanneer de invoer van gebruikers niet op de juiste manier wordt gezuiverd en gevalideerd bij het samenstellen van opdrachten die moeten worden uitgevoerd op het onderliggende besturingssysteem. Hierdoor kan een aanvaller willekeurige opdrachten binnensmokkelen die kunnen leiden tot de implementatie van malware of diefstal van informatie.

“OS command injection-kwetsbaarheden zijn al lang te voorkomen door gebruikersinvoer duidelijk te scheiden van de inhoud van een commando”, aldus de instanties. “Ondanks deze bevinding zijn OS command injection-kwetsbaarheden — waarvan er veel het gevolg zijn van CWE-78 — nog steeds een veelvoorkomende klasse van kwetsbaarheden.”

De waarschuwing is de derde waarschuwing van CISA en FBI sinds het begin van het jaar. De instanties stuurden eerder al twee andere waarschuwingen over de noodzaak om SQL-injectie (SQLi) en padtraversal-kwetsbaarheden te elimineren in maart en mei 2024.

Vorige maand publiceerden CISA en cybersecurity-instanties uit Canada en Nieuw-Zeeland ook richtlijnen waarin bedrijven werd aanbevolen om robuustere beveiligingsoplossingen te implementeren, zoals Zero Trust, Secure Service Edge (SSE) en Secure Access Service Edge (SASE), die meer inzicht bieden in de netwerkactiviteit.

“Door gebruik te maken van op risico’s gebaseerd toegangscontrolebeleid om beslissingen te nemen via beleidsbeslissingsengines, integreren deze oplossingen beveiliging en toegangscontrole. Zo worden de bruikbaarheid en beveiliging van een organisatie versterkt via adaptieve beleidsregels”, aldus de opstellers van het beleid.

Thijs Van der Does