Theo TheHackerNews vào ngày 19/9/2024, GitLab mới phát hành bản vá lỗi nghiêm trọng đối với bản Community Edition (CE) và bản Enterprise Edition (EE). Lỗ hổng CVE-2024-45409 nằm trong thư viện Ruby-SAML với mức độ nghiêm trọng cao nhất (CVSS score: 10.0) do có thể cho phép tin tặc đăng nhập với tư cách là người dùng bất kỳ để đánh cắp mã nguồn dự án.
Sự việc này mang lại rủi ro rất lớn đối với các công ty công nghệ đang sử dụng GitLab làm nền tảng lưu trữ mã nguồn, do việc thất thoát mã nguồn ra bên ngoài có thể ảnh hưởng đến sản phẩm và uy tín đối với khách hàng. Đặc biệt qua khảo sát FCQ nhận định có một số lượng không nhỏ các công ty công nghệ đã không ẩn những thông tin "mật" bao gồm key mã hóa mật khẩu, key truy cập AWS và các mật khẩu truy cập database khi thực hiện gửi (push) mã nguồn lên GitLab. Với những trường hợp như vậy việc lộ lọt mã nguồn có thể dẫn đến những hậu quả nghiêm trọng hơn, do tin tặc có thể tiếp tục leo thang tấn công vào các hệ thống đang vận hành, gây thiệt hại lớn cho tổ chức.
Việc đầu tiên tổ chức cần thực hiện là kiểm tra phiên bản GitLab của mình và so sánh với các phiên bản vá lỗi của GitLab bao gồm 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10.
Cách kiểm tra: Sau khi đăng nhập, điều hướng đến Menu trên cùng bên trái, chọn Help -> Help để xem phiên bản hiện tại.
Trong trường hợp phiên bản nằm dưới các phiên bản trên, tổ chức cần thực hiện các bước sau:
Bước 1: Nếu chưa cập nhật kịp thời, quản trị viên cần thiết lập xác thực hai yếu tố (two-factor authentication) cho mọi tài khoản trên GitLab, trong đó không cho phép chọn chế độ SAML two-factor bypass.
Bước 2: Tiến hành cập nhật GitLab của mình lên một trong các phiên bản 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10.
Bước 3: Để xem tin tặc đã khai thác lỗ hổng hay chưa, cần kiểm tra nhật ký SAML xem có lưu lại các extern_id lạ nào không, trong trường hợp phát hiện, có thể tin tặc đã lợi dụng lỗ hổng để lấy mã nguồn bên trong.
Trong trường hợp nghi ngờ có sự khai thác, tổ chức nên thông báo với các bên liên quan để ứng phó với rủi ro bị lộ mã nguồn.
FCQ luôn sẵn sàng đồng hành và tư vấn các biện pháp, giải pháp cần thiết để khắc phục sự cố và giảm thiểu rủi ro liên quan tới an ninh mạng.