Une vulnérabilité de gravité maximale permettant aux hackers de pirater des comptes GitLab sans interaction utilisateur requise est actuellement exploitée, ont mis en garde les responsables du gouvernement fédéral, alors que les données montrent que des milliers d’utilisateurs n’ont pas encore installé un correctif publié en janvier. Un changement implémenté par GitLab en mai 2023 a rendu possible pour les utilisateurs d’initier des changements de mot de passe via des liens envoyés aux adresses e-mail secondaires. Cette modification visait à permettre des réinitialisations lorsque les utilisateurs ne pouvaient pas accéder à l’adresse e-mail utilisée pour créer le compte. En janvier, GitLab a révélé que cette fonctionnalité permettait aux attaquants d’envoyer des e-mails de réinitialisation aux comptes qu’ils contrôlaient et de cliquer sur le lien intégré pour prendre le contrôle du compte. Bien que les exploits ne nécessitent aucune interaction utilisateur, les piratages ne fonctionnent que contre les comptes qui ne sont pas configurés pour utiliser une authentification multifacteur. Même avec une authentification multifacteur, les comptes restaient vulnérables aux réinitialisations des mots de passe, mais les attaquants ne pouvaient finalement pas accéder au compte, permettant ainsi au propriétaire légitime de modifier le mot de passe de réinitialisation. La vulnérabilité, répertoriée sous le nom CVE-2023-7028, est classée avec un niveau de gravité de 10 sur 10. Mercredi, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a indiqué qu’elle était au courant de « preuves d’exploitation active » et a ajouté la vulnérabilité à sa liste des vulnérabilités connues exploitées. La CISA n’a fourni aucun détail sur les attaques signalées. Un représentant de GitLab a refusé de fournir des détails sur l’exploitation active de la vulnérabilité.
Menu
