La plateforme de distribution logicielle Gitlab vulnérable à une faille potentiellement catastrophique

Publié le 07 mai 2024 à 06h54

GitLab est un logciel libre, mais qui ne l'empêche pas d'être utilisé par de grands groupes comme IBM, Boeing ou Sony © Virrage Images / Shutterstock

Une vulnérabilité détectée dans le logiciel GitLab très sévère a été détectée au début de l'année. Une faille qui expose et menace gravement la sécurité des comptes utilisateurs restant encore à ce jour exploitée.

GitLab, la plateforme de gestion de versions et de développement collaboratif basé sur Git, est confrontée à une vulnérabilité majeure qui a alerté les autorités fédérales américaines. Désignée CVE-2023-7028, cette faille permet aux pirates d'accéder aux comptes GitLab en exploitant une fonctionnalité de réinitialisation de mot de passe récemment implémentée, compromettant ainsi gravement la sécurité des environnements de développement.

Celle-ci propose des outils comparables à GitHub, service ayant été également victime d'une attaque il y a deux semaines.

Une faille problématique

La faille CVE-2023-7028 et a été classé avec niveau de gravité de 10 sur 10 indiquant un risque très important. Celle-ci, introduite suite à une modification (qui avait d'ailleurs provoqué quelques controverses) apportée à la plateforme, a permis à des hackers de prendre le contrôle de comptes utilisateurs en exploitant une nouvelle fonctionnalité de réinitialisation de mot de passe.

Conçue pour aider les utilisateurs ayant perdu l'accès à leur adresse e-mail principale, cette fonctionnalité permet la réinitialisation du mot de passe via un lien envoyé à une adresse e-mail secondaire. Cependant, des individus mal intentionnés peuvent tout à fait abuser de ce processus en envoyant des e-mails de réinitialisation de mot de passe à des comptes qu'ils contrôlent. En cliquant sur le lien contenu dans l'e-mail, ils peuvent usurper l'identité des utilisateurs légitimes et accéder à leurs comptes GitLab. C'est bel et bien ce qu'il s'est passé.

L'exploitation active de cette faille a été confirmée par les autorités fédérales américaines, notamment la Cybersecurity and Infrastructure Security Agency (CISA), qui l'a ajoutée à sa liste de vulnérabilités exploitées connues. La gravité de cette faille réside dans le fait que GitLab est une plateforme centrale pour de nombreux environnements de développement, donnant accès à des ressources critiques et des données sensibles. Si compromises, ces ressources pourraient être utilisées pour déployer des logiciels malveillants, comme dans le cas de l'attaque qui a frappé SolarWinds en 2020.

Treemap des adresses IP vulnérables à la faille CVE-2023-7028 dans GitLab, réparties par pays © Enlarge

Conséquences et mesures de prévention

Malgré la publication d'un correctif le 22 janvier, une semaine après la divulgation publique de la faille CVE-2023-7028, des analyses menées par l'organisation Shadowserver ont révélé que plus de 2 100 adresses IP hébergeaient toujours des instances GitLab vulnérables (elles étaient 5 300 au mois de janvier). Face à cette situation alarmante, la CISA a classé cette faille comme étant toujours activement exploitée et a ordonné aux agences fédérales civiles de mettre en œuvre le correctif immédiatement.

La CISA a également attiré l'attention sur le fait que l'application du correctif ne suffit pas à sécuriser les systèmes déjà compromis par l'exploitation de la faille. L'agence a ainsi incité les utilisateurs à suivre les recommandations données par la plateforme sur une section dédiée de leur site. Si vous utilisez GitLab, pensez à y faire un tour.

Source : Ars Technica

Par Camille Coirault

La tech est mon terrain de jeu, la science ma maîtresse capricieuse et le jeu vidéo (malgré mes overdoses récurrentes de AAA) mon péché mignon. Voici votre serviteur, explorant la jungle technologique armé d'un simple PC et salivant comme un bouledogue devant la moindre innovation. Transformer le jargon technique en prose savoureuse, traquer les news ultimes avec les neurones toujours à balle de caféine : voilà ma mission.

Articles de Camille Coirault

Piratage

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (7)

Kriz4liD

Pas compris le rapport entre les IP et la faille. Le treemap aussi je ne sais pas ce qu il fait dans l article .

V-Luminis

Bonjour,

Pour faire simple, les adresses IP servent à identifier les ordinateurs où la faille de GitLab n’a pas été corrigée ce qui laisse les systèmes exposés au piratage de données.
La treemap sert à montrer la répartition géographique des failles.

Werehog

Cela ne concerne que les gitlab accessibles en IP publique, tout bon système sécurisé (public ou privé) qui limite les utilisateurs devrait aussi limiter les accès, ce qui diminuerait grandement l’impact de cette faille.

somoved

Désactiver la récupération de mot de passe pourrait bloquer l’exploitation de la faille ?
Est-ce que c’est pas ce qu’on fait les serveurs qui sont encore dans la version problématique ?
Je connais un certain nombre d’entreprises françaises qui niveau des mises à jour sont à la ramasse (et parfois même refuse de le faire). Que ses entreprises passe par un workaround ne me semble pas particulièrement choquant.
Après les versions impactées sont récente on dirait. Donc les entreprises ci-dessus évoquées n’ont pas trop de risque ^^

Baxter_X

« en exploitant une fonctionnalité de réinitialisation de mot de passe récemment implémentée, compromettant ainsi gravement la sécurité des environnements de développement. »

Explication alambiquée et totalement imprécise pour un problème pourtant simple:
La faille permet d’envoyer le mail de réinitialisations du mot de passe du compte à une adresse email non vérifiée.
Cela impacte la version 16.1.0 implémentée le 1 Mai 2023. Les comptes à double authentification ne sont pas concernés par contre, car la double validation empêche la prise de controle du compte grace à la double validation.

L’auteur de cet article ne semble pas avoir bien saisi le mécanisme de cette faille tout en tentant d’en donner une explication. Un petit effet dunning-kruger?

V-Luminis

Salut,

Alors, t’as raison, j’aurais pu mieux expliquer. Toutefois, je te remercie, j’ai parfaitement saisi le mécanisme de la faille, donc cette allusion est plutôt déplacée. Je suis loin d’être expert en cyber, mais je ne me permettrais pas d’écrire sur un sujet que je ne maitrise pas.

En revanche, tu as raison sur le fait que j’aurais pu mieux expliquer que ça en expliquant que les comptes à 2FA n’étaient pas concernés. Le but de l’article était de mettre en valeur l’urgence de la mise à jour et la correction des failles plutôt que de détailler les mécanismes de défense individuels comme l’authentification à deux facteurs.

Par contre, si tu es intéressé par l’effet Dunning-Kruger (à ne pas citer à la légère, c’est une véritable théorie hein), je te conseille la lecture de mon article sur ce sujet sur le média Presse-Citron, pour lequel je collabore, entre autres (iPhon.fr, Lemon, etc.).

Va sur Google et tape : Pourquoi sommes-nous si sûrs de nous sur Internet ?

Merci pour ton retour néanmoins.

megamario

Bonjour,
M Camille Coirault, je suis parfaitement d’accord avec Baxter_X et votre réponse quelque peu agressive m’oblige à vous repondre face a ma compréhension de votre article qui ne met absolument pas en avant le moyen de se protège de cette faille, pourtant si simple, la 2FA. Encore un article pour faire le buz en faisant peur ? Que vous alerter, c’est louable, car important, mais si une solution existe, pourquoi justement ne pas le signaler dans l’article?