GitLab: Accountübernahme nach 1-Klick-Attacke möglich

Angreifer können unter anderem an einer Sicherheitslücke in GitLab Community Edition und Enterprise Edition ansetzen, um Zugriff auf Daten zu bekommen, mit denen sie die Kontrolle über Accounts erlangen können.

Bislang gibt es keine Berichte über laufende Attacken, Admins sollten die Entwicklungsumgebung aber dennoch zügig auf den aktuellen Stand bringen. Schließlich können Angriffe in diesem Bereich weitreichende Folgen haben: Gelangt unbemerkt Schadcode in den Code einer entwickelten Anwendung und wird diese später verseucht zum Download gestellt, fängt sich jeder Downloader den Trojaner ein. Kompromittiert der Schadcode eine Programmbibliothek, ist jede damit ausgerüstete Software verseucht. In so einem Fall spricht man von einer Supply-Chain-Attacke.

Gefährlichste Sicherheitslücke

Insgesamt haben die Entwickler in den Ausgaben 16.10.6, 16.11.3 und 17.0.1 sieben Sicherheitslücken geschlossen. In einem Beitrag schreiben sie, dass eine Schwachstelle (CVE-2024-4835) mit dem Bedrohungsgrad "hoch" eingestuft ist.

Um diese XSS-Lücke auszusetzen, müssen Angreifer Opfer auf eine von ihnen präparierte Website locken, um im Zuge einer 1-Klick-Attacke sensible Benutzerinformationen zu exfiltrieren. Das führt dann zu einer Accountübernahme durch die Angreifer.

Weitere Gefahren

Die restlichen Schwachstellen sind mit dem Bedrohungsgrad "mittel" versehen. An diesen Stellen kann es unter anderem zu DoS-Attacken kommen. Außerdem ist der Zugriff auf eigentlich isolierte Informationen vorstellbar.

Bereits im Aprils dieses Jahres haben die GitLab-Entwickler Sicherheitslücken geschlossen, über die Angreifer Accounts kompromittieren können. Seit Anfang Mai 2024 warnt die US-Behörde CISA vor Attacken auf eine weitere GitLab-Lücke (CVE-2023-7028) und hat Bundesbehörden angeordnet, die Schwachstelle bis 22. Mai 2024 zu schließen.

(des)