Alerte de sécurité GitLab CVE-2023-7028 : la réponse des produits Stormshield

Publié le : 22 01 2024 | Modifié le : 15 02 2024

Auteur : Stormshield Customer Security Lab

2 minutes

Une nouvelle vulnérabilité critique impactant GitLab, identifiée sous la CVE-2023-7028, a obtenu le score CVSS de 10. L’équipe Stormshield Customer Security Lab dévoile les protections fournies par Stormshield.

 

Le contexte de la vulnérabilité CVE-2023-7028

Une nouvelle vulnérabilité portant le numéro CVE-2023-7028 a été découverte sur le produit GitLab CE/EE et impacte les versions suivantes :

  • Pour la branche 16.1, toutes les versions précédant la 16.1.6 ;
  • Pour la branche 16.2, toutes les versions précédant la 16.2.9 ;
  • Pour la branche 16.3, toutes les versions précédant la 16.3.7 ;
  • Pour la branche 16.4, toutes les versions précédant la 16.4.5 ;
  • Pour la branche 16.5, toutes les versions précédant la 16.5.6 ;
  • Pour la branche 16.6, toutes les versions précédant la 16.6.4 ;
  • Pour la branche 16.7, toutes les versions précédant la 16.7.2.

Cette faille permet à un attaquant distant de redéfinir le mot de passe de n’importe quel compte GitLab en exploitant une particularité autour de la procédure de recouvrement du mot de passe du compte.

 

Les détails techniques de la vulnérabilité CVE-2023-7028

Lors de la demande de recouvrement du mot de passe d’un compte, le serveur accepte plusieurs adresses e-mail réceptrices du message de recouvrement, tant que la première est bien celle initialement associée au compte. Les cyber-attaquants peuvent donc librement spécifier, en adresse secondaire, une adresse email sous leur contrôle et définir ainsi un nouveau mot de passe de leur choix pour se connecter par la suite avec le compte volé.

Il est important de noter que l’authentification multi-facteur mitige ce risque puisque le cyber-attaquant ne pourra pas contourner la double authentification via cette vulnérabilité GitLab.

 

Les moyens de protections Stormshield face à la vulnérabilité CVE-2023-7028

Protection Stormshield Network Security

La signature IPS suivante détecte et bloque cette tentative d’exploitation dans un environnement GitLab local :

  • http:mix.355 : Exploitation d'une vulnérabilité de prise de contrôle de compte dans GitLab (CVE-2023-7028)

Afin que cette signature puisse détecter cette exploitation, il est nécessaire d’activer le proxy déchiffrant.

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

Recommandations face à la vulnérabilité GitLab

Nous vous recommandons fortement de mettre à jour votre instance de GitLab dès que possible. Il n’y a pas d’autres solutions de mitigation possibles.

Tags :

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Un besoin de précision sur les protections Stormshield ? Les équipes du Support Technique sont à votre disposition pour vous accompagner au mieux. Contactez-les par le biais du gestionnaire d’incidents situé dans l’espace privé MyStormshield. Pour y accéder, sélectionnez le menu « Support technique / Rapporter un incident / Suivre un incident ».
L’équipe de Cyber Threat Intelligence de Stormshield remplit deux missions principales : étudier les menaces cyber pour les comprendre et améliorer en continu les protections des produits de Stormshield. Le tout, dans l’optique de contribuer à l’effort de la communauté de la cybersécurité pour faire face aux menaces cyber.
À propos de l'auteur
mm
Stormshield Customer Security Lab
Derniers articles

Voir tous les articles de Alertes

En savoir plus