GitLab은 오늘 자사 제품의 GitLab Community 및 Enterprise 에디션에서 발견된 심각한 취약점을 통해 공격자가 다른 사용자와 마찬가지로 파이프라인 작업을 실행할 수 있다고 경고했습니다.
GitLab DevSecOps 플랫폼은 3,000만 명이 넘는 등록 사용자를 보유하고 있으며, T-Mobile, Goldman Sachs, Airbus, Lockheed Martin, Nvidia, UBS 등 Fortune 100 기업의 50% 이상이 사용하고 있습니다.
오늘의 보안 업데이트에서 패치된 결함은 CVE-2024-6385로 추적되며, CVSS 기본 점수 심각도 등급은 10점 만점에 9.6점을 받았습니다.
15.8에서 16.11.6, 17.0에서 17.0.4, 17.1에서 17.1.2까지의 모든 GitLab CE/EE 버전에 영향을 미칩니다. GitLab이 아직 공개하지 않은 특정 상황에서 공격자는 임의의 사용자로 새로운 파이프라인을 트리거하기 위해 이를 악용할 수 있습니다.
GitLab 파이프라인은 사용자가 코드 변경 사항을 빌드, 테스트 또는 배포하기 위해 프로세스와 작업을 병렬 또는 순차적으로 자동으로 실행할 수 있는 지속적인 통합/지속적인 배포(CI/CD) 시스템 기능입니다.
회사는 이 심각한 보안 결함을 해결하기 위해 GitLab Community 및 Enterprise 버전 17.1.2, 17.0.4, 16.11.6을 출시했으며 모든 관리자에게 모든 설치를 즉시 업그레이드하도록 권고했습니다.
“아래 설명된 문제의 영향을 받는 버전을 실행하는 모든 설치는 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다.”라고 경고했습니다. “GitLab.com과 GitLab Dedicated는 이미 패치 버전을 실행하고 있습니다.”
공격에서 계정 인수 결함이 활발히 악용됨
GitLab은 6월 말에 거의 동일한 취약점(CVE-2024-5655로 추적)을 패치했는데, 이 취약점은 다른 사용자 권한으로 파이프라인을 실행하는 데 악용될 수도 있습니다.
한 달 전에는 인증되지 않은 위협 행위자가 XSS(교차 사이트 스크립팅) 공격에서 계정을 인수할 수 있도록 하는 심각한 취약점(CVE-2024-4835)을 수정했습니다.
CISA가 5월에 경고했듯이, 위협 행위자들은 1월에 패치된 또 다른 제로클릭 GitLab 취약점(CVE-2023-7028)을 적극적으로 악용하고 있습니다. 이 취약점은 인증되지 않은 공격자가 비밀번호 재설정을 통해 계정을 하이재킹할 수 있게 합니다.
Shadowserver는 1월에 온라인에 노출된 5,300개 이상의 취약한 GitLab 인스턴스를 발견했지만, 현재까지 접근 가능한 인스턴스는 절반도 되지 않습니다(1,795개).
공격자들이 GitLab을 공격하는 이유는 GitLab이 API 키와 독점 코드를 포함한 다양한 유형의 민감한 기업 데이터를 호스팅하고 있기 때문이며, 침해 사고 발생 시 심각한 보안 피해를 입힐 수 있습니다.
여기에는 위협 행위자가 CI/CD(지속적인 통합/지속적인 배포) 환경에 악성 코드를 삽입하여 침해된 조직의 저장소를 손상시키는 공급망 공격도 포함됩니다.
