Gitlab-Kontoklau-LĂĽcke: Tausende verwundbare Server im Netz
IT-Forscher haben das Netz durchforstet und dabei mehr als 5000 verwundbare Gitlab-Server gefunden. Angreifer können dort einfach Konten übernehmen.
Die IT-Forscher von Shadowserver haben im Internet nach Gitlab-Servern gesucht, die für eine kritische Sicherheitslücke anfällig sind, durch die Angreifer beliebige Konten mit der Passwort-Rücksetzen-Funktion übernehmen können. Die Lücke wurde vor rund zwei Wochen bekannt, Gitlab hat Updates bereitgestellt – und doch fanden die Shadowserver-Mitarbeiter weltweit 5379 Gitlab-Server, die im Netz erreichbar sind und die Lücke aufweisen.
Auf X (Twitter) schreiben die IT-Forscher, dass sie beim Suchlauf am Dienstag dieser Woche noch so viele verwundbare Systeme identifiziert hätten. Die Liste führen die USA mit 964 ungepatchten Gitlab-Servern an, gefolgt von Deutschland mit 730 Systemen und an dritter Stelle steht Russland mit 721 löchrigen Servern.
Schwachstelle Passwort-Reset ohne Nutzerinteraktion
Vor zwei Wochen hat Gitlab neue Versionen der Software veröffentlicht, die unter anderem die Sicherheitslücke schließt, durch die Angreifer sich Passwort-Rücksetz-Mails an nicht verifizierte E-Mail-Adressen schicken lassen und so beliebige Konten übernehmen können (CVE-2023-7028., CVSS 10.0, Risiko "kritisch"). Sie lässt sich ohne weitere Anmeldung aus dem Netz missbrauchen. Erste Angreifer hatten die Schwachstelle bereits zu dem Zeitpunkt ausgenutzt.
Als Gegenmaßnahme empfiehlt Gitlab, fehlerbereinigte Software zu installieren. Die Releases 16.7.2, 16.6.4 sowie 16.5.6 für Gitlab Community Edition (CE) und Enterprise Edition (EE) enthalten die Fehler nicht mehr. Zudem haben die Entwickler die Patches auch auf ältere Versionszweige zurückportiert, namentlich bügeln auch 16.4.5, 16.3.7, 16.2.9 sowie 16.1.6 die sicherheitsrelevanten Fehler aus.
Das Aktivieren von Zwei- oder Mehrfaktorauthentifzierung (2FA/MFA) hilft, die Auswirkungen der Lücke zu reduzieren. Zwar könnten Angreifer auf verwundbaren Servern dann das Rücksetzen der Passwörter auslösen, sich jedoch nicht anmelden, ohne den zweiten Faktor zu kennen.
Auf der Weltkarte haben die IT-Forscher von Shadowserver eingetragen, in welchem Land sie wie viele anfällige Systeme gefunden haben.
(dmk)