CISA cảnh báo lỗ hổng SSRF trên GitLab đang bị khai thác, đe dọa an ninh CI/CD

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
125
1.576 bài viết
CISA cảnh báo lỗ hổng SSRF trên GitLab đang bị khai thác, đe dọa an ninh CI/CD
WhiteHat Team
Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) vừa phát đi cảnh báo về một lỗ hổng Server-Side Request Forgery đang bị khai thác thực tế trên GitLab Community Edition và Enterprise Edition. Lỗ hổng mang mã CVE-2021-39935 cho phép kẻ tấn công từ xa thực hiện các yêu cầu mạng trái phép từ phía máy chủ GitLab thông qua CI Lint API mà không cần xác thực.
gitlab.png

Nguyên nhân của lỗ hổng xuất phát từ việc GitLab không kiểm tra chặt chẽ các URL do người dùng cung cấp trong quá trình kiểm tra cấu hình CI/CD. Kẻ tấn công có thể lợi dụng điểm yếu này để buộc máy chủ GitLab kết nối đến các tài nguyên nội bộ hoặc bên ngoài theo ý muốn, mở đường cho hoạt động dò quét mạng nội bộ, truy cập dịch vụ nhạy cảm, rò rỉ dữ liệu hoặc khai thác các lỗ hổng thứ cấp trong hệ sinh thái liên quan.

CISA đã đưa CVE-2021-39935 vào danh mục Known Exploited Vulnerabilities vào ngày 3/2/2026, yêu cầu các cơ quan liên bang và tổ chức chịu sự điều chỉnh của BOD 22-01 phải hoàn tất việc khắc phục trước ngày 24/2/2026. Theo CISA, việc chậm trễ vá các nền tảng phát triển và CI/CD có thể tạo điều kiện hình thành chuỗi tấn công phức tạp, thậm chí leo thang thành các sự cố an ninh chuỗi cung ứng.

Dù GitLab đã phát hành bản vá cho lỗ hổng này từ năm 2021, các báo cáo gần đây cho thấy tin tặc đang quay lại khai thác những hệ thống chưa được vá và vẫn tiếp xúc trực tiếp với Internet. Đây thường là các máy chủ GitLab tự triển khai, cấu hình thiếu chặt chẽ và bị phơi bày API ra môi trường công cộng.

Trong môi trường CI/CD, nơi GitLab thường có quyền truy cập sâu vào mã nguồn, hệ thống build và các dịch vụ đám mây, một lỗ hổng SSRF không cần xác thực có thể bị lợi dụng để truy cập metadata service, đánh cắp token, thông tin cấu hình hoặc thông tin xác thực phục vụ cho các bước xâm nhập tiếp theo.

CISA chưa công bố nhóm tin tặc cụ thể đứng sau các hoạt động khai thác gần đây, song giới phân tích nhận định SSRF từ lâu đã là kỹ thuật quen thuộc của các nhóm tấn công có chủ đích nhằm thâm nhập mạng nội bộ, di chuyển ngang và chiếm quyền kiểm soát hạ tầng. Trong nhiều sự cố trước đây, các lỗ hổng tương tự từng bị lợi dụng để triển khai mã độc đào tiền số hoặc làm điểm khởi đầu cho các chiến dịch tấn công chuỗi cung ứng.

GitLab đã phát hành các bản cập nhật bảo mật cho cả Community và Enterprise Edition và khuyến cáo người dùng nhanh chóng nâng cấp lên phiên bản an toàn, kiểm soát chặt việc công khai các API ra Internet, giám sát log CI/CD để phát hiện các truy vấn bất thường và triển khai phân đoạn mạng nhằm bảo vệ các dịch vụ nội bộ. Với vai trò trung tâm của GitLab trong quy trình DevOps, các hệ thống chưa được vá tiếp tục là mục tiêu hấp dẫn cho những kẻ tấn công tìm kiếm cơ hội xâm nhập và mở rộng phạm vi kiểm soát trong hạ tầng doanh nghiệp.
Theo Cyber Press
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • CISA cảnh báo khẩn: Nhiều lỗ hổng đang bị tin tặc khai thác ngoài thực tế
  • CISA cảnh báo lỗ hổng VMware vCenter bị khai thác, nguy cơ chiếm quyền ESXi
  • CISA cảnh báo lỗ hổng Zimbra ZCS đang bị khai thác thực tế
  • Router TP-Link dính lỗ hổng nghiêm trọng, CISA phát cảnh báo khẩn
  • CISA cảnh báo 2 lỗ hổng nguy hiểm trong kernel Linux đang bị khai thác thực tế
  • CISA cảnh báo việc khai thác lỗ hổng bảo mật trong Cisco Smart Licensing Utility
    • Thẻ
    cve-2021-39935 gitlab ssrf
    Bên trên