紧急警报：超过 5,300 个 GitLab 实例暴露在关键的零点击缺陷中

　　研究人员在可从 Internet 访问的 5,300 多个 GitLab 实例中发现了一个严重的零点击漏洞 CVE-2023-7028(评级为 CVSS 10.0)。尽管该问题已在最新版本的 GitLab 中得到纠正，但并非所有用户都能够及时更新他们的软件。

　　此漏洞使不法分子能够在不需要任何用户交互的情况下捕获帐户。黑客将密码重置电子邮件发送到他们控制的电子邮件地址，从而获得更改密码和夺取帐户的能力。

　　虽然该漏洞不允许绕过双因素身份验证 (2FA)，但对于不受此额外安全机制保护的帐户，它会带来巨大的风险。

　　该问题会影响以下版本的 GitLab 社区版和企业版：

　　• 版本 16.1 至 16.1.5;

　　• 版本 16.2 至 16.2.8;

　　• 版本 16.3 至 16.3.6;

　　• 版本 16.4 至 16.4.4;

　　• 版本 16.5 至 16.5.6;

　　• 版本 16.6 至 16.6.4;

　　• 版本 16.7 至 16.7.2。

　　相应的修复已于 1 月 11 日发布。两周后，威胁监控服务 ShadowServer 报告了大约 5,379 个可从 Internet 访问的易受攻击的 GitLab 实例。

　　鉴于 GitLab 作为软件开发和项目规划平台的角色，以及漏洞的性质，这些服务器正面临供应链攻击、专有代码泄露、API 密钥泄露和其他恶意活动的威胁。

　　根据 Shadowserver 的数据，大多数易受攻击的服务器位于美国(964 台)，其次是德国(730 台)、俄罗斯(721 台)、中国(503 台)、法国(298 台)、英国(122 台)、印度(117 台)和加拿大(99 台)。

　　那些尚未安装补丁的人可能已经受到威胁，因此使用 GitLab 的事件响应指南并检查入侵迹象至关重要.

　　GitLab 之前为网络安全专家分享了以下检测建议：

　　• 检查 gitlab-rails/production_json.log 中是否有对 /users/password 路径的 HTTP 请求，params.value.email 由具有多个电子邮件地址的 JSON 数组组成。

　　• 检查 gitlab-rails/audit_json.log 中是否有meta.caller_id为 PasswordsController#create 的条目，target_details由具有多个电子邮件地址的 JSON 数组组成。

　　发现被盗实例的管理员除了在所有帐户上激活 2FA 并安装安全更新外，还应更改所有凭据、API 令牌、证书和其他机密。

　　保护服务器后，管理员应验证开发环境中的任何更改，包括源代码和可能被篡改的文件。

　　迄今为止，尚未确认主动利用漏洞 CVE-2023-7028 的案例，但这不应被视为延迟采取措施的理由。