Onderzoekers hebben details onthuld van een nu gepatchte beveiligingskwetsbaarheid in GitLab, een open-source DevOps-software, waardoor een externe, niet-geverifieerde aanvaller mogelijk gebruikersgerelateerde informatie kan herstellen.
Bijgehouden als CVE-2021-4191 (CVSS-score: 5,3), treft de fout van gemiddelde ernst alle versies van GitLab Community Edition en Enterprise Edition vanaf 13.0 en alle versies vanaf 14.4 en eerder tot 14.8.
Gecrediteerd met het ontdekken en rapporteren van de fout is Jake Baines, een senior beveiligingsonderzoeker bij Rapid7. Na verantwoorde bekendmaking op 18 november 2021 werden patches vrijgelaten als onderdeel van GitLab kritieke beveiligingsreleases 14.8.2, 14.7.4 en 14.6.5 die op 25 februari 2022 zijn verzonden.
“De kwetsbaarheid is het resultaat van een ontbrekende authenticatiecontrole bij het uitvoeren van bepaalde GitLab GraphQL API-query’s,” Baines zei in een donderdag gepubliceerd rapport. “Een niet-geverifieerde aanvaller op afstand kan dit beveiligingslek gebruiken om geregistreerde GitLab-gebruikersnamen, namen en e-mailadressen te verzamelen.”
Succesvolle exploitatie van het API-informatielek zou kwaadwillende actoren in staat kunnen stellen lijsten van legitieme gebruikersnamen van een doelwit op te sommen en samen te stellen, die vervolgens kunnen worden gebruikt als een springplank om brute-force-aanvallen uit te voeren, waaronder wachtwoord raden, wachtwoord spuitenen legitimatie vulling.
“Het informatielek stelt een aanvaller mogelijk ook in staat om een nieuwe gebruikersnaam-woordenlijst te maken op basis van GitLab-installaties – niet alleen van gitlab.com maar ook van de andere 50.000 GitLab-instanties die via internet kunnen worden bereikt”, zei Baines.
Naast CVE-2021-4191 lost de patch ook zes andere beveiligingsfouten op, waaronder een kritiek probleem (CVE-2022-0735, CVSS-score: 9,6) waardoor een ongeautoriseerde aanvaller de loper registratie tokens gebruikt voor het verifiëren en autoriseren van CI/CD-taken die worden gehost op GitLab-instanties.
