CISA dodaje kolejną lukę w GitLab do katalogu KEV

Niektóre podatności muszą poczekać na aktywne wykorzystanie dłużej, niż inne. Musiało upłynąć zdecydowanie więcej czasu, aby podatność dotycząca SSRF w GitLab oznaczona symbolem CVE-2021-39935 została dodana przez CISA do katalogu aktywnie wykorzystywanych podatności (KEV). Jest to okres znacznie dłuższy niż w przypadku poprzednio opisywanej podatności, również dotykającej serwery kontroli wersji.

Dla przypomnienia, podatność dotyczy zarówno GitLab CE, jak i EE. W zależności od linii, została załatana w wersjach 14.3.6, 14.4.4 lub 14.5.2. Warto upewnić się, że wykorzystywany przez Was serwer GitLab jest możliwie najnowszej wersji, ponieważ nie jest to ostatnia podatność dotykająca ten software.

Przy okazji warto zastanowić się, czy usługa musi być dostępna publicznie. Ograniczenie dostępu np. do sieci wewnętrznej nie jest zupełnym rozwiązaniem problemu, ale skutecznie ogranicza wektor ataku. Nie tylko z użyciem tej podatności.

Tymczasem serwis BleepingComputer informuje, że serwis Shodan posiada w swoim indeksie 49 tys. publicznie dostępnych instancji GitLab (wszystkich, nie tylko podatnych). Z czego ponad 330 jest przypisanych do Polski.