2024-04-17 04:25 (수)
[긴급] 제로 클릭 계정 탈취 등 깃랩 보안취약점 주의…최신 업데이트 필수
상태바
[긴급] 제로 클릭 계정 탈취 등 깃랩 보안취약점 주의…최신 업데이트 필수
  • 길민권 기자
  • 승인 2024.01.15 09:58
이 기사를 공유합니다

“데브섹옵스 플랫폼 사용자, 잠재적 위협으로부터 시스템 보호위해 최신 버전으로 업데이트해야”

최근 보안 업데이트에서 깃랩(GitLab)은 커뮤니티 에디션과 엔터프라이즈 에디션 모두에 영향을 미치는 두 가지 중요한 취약점을 해결했다.

CVE-2023-7028 및 CVE-2023-5356 취약점은 사용자 계정 및 통합에 심각한 위협이 될 수 있으며, 데브섹옵스 플랫폼의 보안을 보장하기 위해 즉각적인 조치가 필요한 취약점이다.

◆치명적인 제로 클릭 계정 하이재킹(CVE-2023-7028)

깃랩은 사용자 상호작용 없이도 계정 탈취가 가능한 10점 만점의 최고 심각도 취약점을 발견했다. CVE-2023-7028로 추적되는 이 결함은 버전 16.1부터 16.7.2까지 영향을 미친다. 이 취약점은 비밀번호 재설정 기능을 악용하여 공격자가 확인되지 않은 이메일 주소로 재설정 이메일을 전송할 수 있게 해준다. 깃랩은 사용자에게 즉시 최신 버전으로 업데이트할 것을 강력히 권고했다.

깃랩 사용자는 여러 이메일 주소가 포함된 JSON 배열을 사용해 /users/password에 대한 HTTP 요청 로그를 검토해야 하고 또 감사 로그에서 여러 이메일 주소의 JSON 배열이 포함된 PasswordsController#create와 관련된 항목이 있는지 확인해야 한다.

◆심각한 슬래시 명령 어뷰징 취약점(CVE-2023-5356)

심각도 점수가 10점 만점에 9.6점인 또 다른 심각한 취약점은 깃랩 버전 8.13~16.7.2의 잘못된 권한 검사와 관련이 있다. 이 결함으로 인해 사용자는 슬랙/매터모스트 통합을 악용해 다른 사용자로 슬래시 명령을 실행할 수 있다. 이로 인해 통합에 대한 무단 액세스 및 잠재적인 오용이 발생할 수 있다.

이외에도 깃랩은 버전 16.7.2에서 몇 가지 다른 취약점도 해결했다.

▲CVE-2023-4812: 코드 소유자 승인 우회. ▲CVE-2023-6955: 워크스페이스에 대한 부적절한 액세스 제어. ▲CVE-2023-2030: 커밋 서명 유효성 검사 문제 등을 해결했다.

깃랩 사용 조직은 즉시 설치를 업데이트해야 한다. 이러한 취약점의 심각성은 잠재적 위험을 완화하기 위해 보안 패치를 최신 상태로 유지하는 것이 매우 중요하다.

깃랩은 현재 활발하게 활동 중인 익스플로잇을 발견하진 못했지만 주의를 당부했다. 익스플로잇 시도 징후가 있는지 로그를 모니터링하면 조직이 잠재적인 위협을 즉시 식별하고 대응하는 데 도움이 될 수 있다.

데브섹옵스 플랫폼 사용자는 잠재적 위협으로부터 시스템을 강화하기 위해 최신 버전으로 업데이트하는 것을 최우선으로 적용해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★