GitLab phát hành bản vá giải quyết lỗ hổng nghiêm trọng trong tác vụ Pipeline
Được gán mã định danh CVE-2024-6385 (điểm CVSS 9,6), lỗ hổng cho phép kẻ tấn công thực thi các tác vụ Pipeline với tư cách là người dùng tùy ý, trong một số trường hợp nhất định và ảnh hưởng đến GitLab CE/EE phiên bản 15.8 đến 16.11.5, 17.0.0 đến 17.0.3 và 17.1.0 đến 17.1.1.
Lỗ hổng CVE-2024-6385 được báo cáo thông qua chương trình Bug bounty của GitLab trên HackerOne bởi một người dùng có tên là “yvvdwf”. Hiện tại, công ty cho biết lỗ hổng này đã được giải quyết trong bản phát hành GitLab CE/EE phiên bản 17.1.2, 17.0.4 và 16.11.6.
Theo ông David Lindner, Giám đốc an ninh thông tin tới từ hãng bảo mật Contrast Security (trụ sở chính tại Mỹ) đã cảnh báo rằng, việc khai thác thành công lỗ hổng CVE-2024-6385 có thể cho phép kẻ tấn công thực thi mã độc, truy cập dữ liệu nhạy cảm và xâm phạm tính toàn vẹn của phần mềm.
Bản vá cập nhật xử lý lỗ hổng CVE-2024-6385 được phát hành khoảng 2 tuần sau khi nền tảng DevOps giải quyết một lỗ hổng khác (CVE-2024-5655) cho phép kẻ tấn công chạy các tác vụ Pipeline.
Đáng chú ý, trong bản cập nhật GitLab mới nhất cũng giải quyết một lỗ hổng có mức độ nghiêm trọng (CVE-2024-5257) có thể cho phép các nhà phát triển có quyền admin_compliance_framework sửa đổi URL group cho namespace. Bốn vấn đề còn lại được giải quyết trong bản cập nhật mới là các lỗ hổng có mức độ nghiêm trọng thấp.
Ngoài các bản vá lỗ hổng bảo mật, bản cập nhật còn bao gồm nhiều bản sửa lỗi và cải tiến trên nhiều thành phần GitLab khác nhau, chẳng hạn như Git, MailRoom, CI/CD Pipeline và tích hợp Redis.
Nhà nghiên cứu Ray Kelly của hãng bảo mật Synopsys Software Integrity Group (Canada), cho biết: “Trong thế giới DevSecOps phát triển nhanh như hiện nay, bất kỳ đề cập nào về lỗ hổng trong chức năng Pipeline chắc chắn sẽ ảnh hưởng rất lớn. Khi Pipeline bị xâm phạm, phần mềm có thể bị thay đổi bằng mã độc, backdoor hoặc được sử dụng để đánh cắp thông tin riêng tư từ các tổ chức. Điều này khó phát hiện vì quét bảo mật thường được thực hiện sớm hơn trong quy trình SDLC. Với các vụ vi phạm chuỗi cung ứng nghiêm trọng gần đây, rõ ràng là các tổ chức cần vá lỗ hổng ngay lập tức để ngăn chặn các tác nhân đe dọa xâm phạm phần mềm của họ. Ngoài ra, việc đưa tính năng quét bảo mật vào quy trình có thể giúp phát hiện các sự cố trước khi chúng được triển khai”.
GitLab.com và GitLab Dedicated hiện đang thực thi các phiên bản đã được vá. Công ty này nhấn mạnh tầm quan trọng của việc duy trì hệ sinh thái bảo mật và khuyến nghị tất cả khách hàng nên cập nhật phiên bản mới nhất để phòng tránh trước các mối nguy cơ rủi ro tiềm ẩn.
Hữu Hưng (Tổng hợp)