Cette faille critique dans GitLab permet de réinitialiser le mot de passe de n’importe quel compte !
GitLab est affecté par une nouvelle faille de sécurité critique et particulièrement dangereuse, car elle peut permettre à un attaquant de réinitialiser le mot de passe d'un compte afin d'en prendre le contrôle. Voici ce que l'on sait !
Associée à la référence CVE-2023-7028, cette faille de sécurité critique rapportée par l'intermédiaire du programme de Bug Bounty de GitLab affecte GitLab Community Edition (CE) et Enterprise Edition (EE).
En exploitant cette faille de sécurité à distance, et sans interaction de la part de l'utilisateur, un attaquant pourrait réinitialiser le mot de passe d'un compte utilisateur afin d'en prendre le contrôle. Le fait d'exploiter cette faille de sécurité va lui permettre de lancer le processus de réinitialisation de mot de passe pour un compte utilisateur en recevant le lien de réinitialisation sur l'adresse e-mail de son choix. Ainsi, l'attaquant n'aura plus qu'à cliquer sur le lien et à définir un nouveau mot de passe...
Quelles sont les versions de GitLab affectées ?
Cette vulnérabilité a été introduite dans GitLab dans la version 16.1.0 sortie le 1er mai 2023, au moment où il y a eu des modifications apportées au code de l'application dans le but de permettre aux utilisateurs de réinitialiser leur mot de passe à l'aide d'une adresse électronique secondaire.
Dans le bulletin de sécurité de GitLab, nous pouvons lire que toutes les versions suivantes sont affectées :
- 16.1 avant 16.1.5
- 16.2 avant 16.2.8
- 16.3 avant 16.3.6
- 16.4 avant 16.4.4
- 16.5 avant 16.5.6
- 16.6 avant 16.6.4
- 16.7 avant 16.7.2
GitLab a mis en ligne de nouvelles versions pour corriger cette faille de sécurité : 16.7.2, 16.6.4 et 16.5.6 pour GitLab CE et EE. Ces nouvelles versions corrigent aussi 4 autres failles de sécurité, dont une autre faille critique. De plus, GitLab précise que "ce correctif de sécurité a été reporté dans les versions GitLab 16.1.6, 16.2.9, 16.3.7, et 16.4.5 ainsi que 16.5.6, 16.6.4, et 16.7.2."
Vous devez donc mettre à jour votre instance GitLab vers l'une de ces versions. En ce qui concerne les instances gérées par GitLab ainsi que GitLab.com, voici ce que précise l'éditeur : "Nous n'avons pas détecté d'abus de cette vulnérabilité sur les plateformes gérées par GitLab, y compris GitLab.com et les instances dédiées de GitLab."
Patchez votre instance GitLab et activez le MFA
Au-delà de patcher votre instance, GitLab vous recommande d'activer le MFA autant que possible sur les comptes utilisateurs, en traitant en priorité les comptes administrateurs.
Ceci est d'autant plus important que les comptes où le MFA est configuré seront protégés de cette faille de sécurité grâce au second facteur d'authentification : un attaquant pourra réinitialiser le mot de passe du compte, mais il ne pourra pas s'y connecter à cause du second facteur d'authentification.