Sicherheitslücke in GitLab: Accountübernahme durch 1-Klick-Attacke

GitLab: Accountübernahme nach 1-Klick-Attacke möglich

Risiko für GitLab-Community und -Enterprise Edition


Angreifer könnten Sicherheitslücken in der GitLab Community & Enterprise Edition ausnutzen um Zugang zu empfindlichen Daten zu erhalten. Dieser Zugang ermöglicht ihnen die Kontrolle über Benutzerkonten zu erlangen. Obwohl bisher keine laufenden Angriffe bekannt sind rät man Administratoren dringend ihre Entwicklungsumgebungen aktuell zu halten. Angriffe dieser Art könnten schwerwiegende Konsequenzen haben – wie etwa das Einschleusen von Schadcode. Einmal in den Code eingebettet; könnte die infizierte Anwendung unwissentlich heruntergeladen werden. Folglich in der verbreiteten Software verstecken sich dann Trojaner.



Supply-Chain-Attacken


Solche Fälle werden als Supply-Chain-Attacken bezeichnet. Der Schadcode eines betroffenen Programms kompromittiert möglicherweise eine gesamte Programmbibliothek. So wird jede Anwendung » die diese Bibliothek nutzt « automatisch infiziert. GitLab-Entwickler haben insgesamt sieben Sicherheitslücken geschlossen und Updates in den Versionen 16.10.6, 16.11.3 und 17.0.1 veröffentlicht.



Gefährlichste Sicherheitslücke


Besonders gravierend ist CVE-2024-4835 die als hoch gefährlich eingestuft wurde. Opfer müssen eine präparierte Website besuchen, zu diesem Zweck Angreifer in einer 1-Klick-Attacke sensible Benutzerinformationen stehlen können. Dies endet oft mit einer Accountübernahme.



Mittlere Bedrohungen: Weitere Schwachstellen


Ferner wurden Schwachstellen erkannt die als mittelschwer gelten. Diese könnten DoS-Attacken ermöglichen. Zudem seien nicht isolierte Informationen möglicherweise exponiert.



Frühere Sicherheitslücken und Warnungen


Schon im April beseitigte GitLab Sicherheitslücken die es Angreifern erlaubten, Benutzerkonten zu kompromittieren. Darüber hinaus warnte die US-Behörde CISA seit Anfang Mai 2024 vor der Schwachstelle CVE-2023-7028. Bundesbehörden müssen diese gefährdete Stelle bis spätestens 22. Mai 2024 schließen.






Kommentare


Anzeige