GitLab 重要漏洞 CVE20237028 风险警示

关键要点

GitLab 漏洞 CVE20237028 影响超过 5300 台服务器，可能导致软件开发者账号被远程接管。漏洞首次在 2024 年 1 月 11 日被披露并修复，CVSS 评分达 10。安全更新已发布，涵盖多个 GitLab 版本，但依然有大量实例未更新。Shadowserver 基金会报告全球存在 5379 个尚未修复的漏洞实例，主要集中在美国和德国。建议 GitLab 用户启用双重身份验证 (2FA) 以增强安全。

GitLab 的安全漏洞 CVE20237028 目前未在超过 5300 台服务器上进行修补，这一情况至周二仍在持续，可能使得攻击者能够远程接管软件开发者的账户。

该漏洞由 GitLab 于 2024 年 1 月 11 日首次披露并修复，最大 CVSS 评分达到 10。此漏洞存在于 GitLab 的登录系统中，攻击者可以在没有受害者用户交互的情况下，将密码重置链接发送至自身未验证的电子邮件地址。

“可以通过构造特定格式的 HTTP 请求实现账户接管，该请求能够在未修补的版本中将密码重置邮件发送到未验证的电子邮件地址。” 一名 GitLab 发言人在 1 月 12 日的邮件中告诉 SC Media。

针对 GitLab 版本 1656、1664 和 1672 发布了安全更新，同时也向版本 1616、1629、1637 和 1645 进行了回溯修补。

哔咔蘑菇加速器官网入口

一位在 GitLab Community Edition 版本 1661 上测试该漏洞的研究人员，在 AttackerKB 分享了他们的结果，表示 CVE20237028 “非常有效且容易利用”。

在安全补丁发布近两周后，Shadowserver 基金会通报全球发现了 5379 个易受攻击的 GitLab 实例。该非营利组织监测在线恶意活动，在1月23日发布了相关数据，指出美国和德国是最易受攻击的地区，分别有 964 和 730 个实例。

根据Shadowserver 的仪表板工具，截至 1 月 24 日，易受攻击实例数量降至 4652。Shadowserver 的发言人向 SC Media 确认，检测到的漏洞实例有所下降，称这是一个积极的进展，但需要更多时间来判断这个下降是趋势还是扫描中的“波动”。

CVE20237028 的妥协指标

使用自我托管实例的 GitLab 用户包括 GitLab Community Edition 和 GitLab Enterprise Edition应根据 GitLab 提供的以下两种方法检查其日志，以确认是否存在 CVE20237028 的攻击：

检查 gitlabrails/productionjsonlog 中发送到 /users/password 路径的 HTTP 请求，检查参数 valueemail 是否包含多个电子邮件地址的 JSON 数组。检查 gitlabsrails/auditjsonlog 是否有条目，其中 metacallerid 为 PasswordsController#create，且 targetDetails 包含多个电子邮件地址的 JSON 数组。

该公司表示，尚未检测到在 GitLabcom 或 GitLab Dedicated 实例上存在该漏洞的利用。

GitLab 还建议用户启用双重身份验证 (2FA)，这可以防止通过 CVE20237028 实现账户接管，尽管未修补实例的用户仍面临被锁定账户的风险，假如攻击者利用该漏洞重置其密码。