GitLab vừa giải quyết một lỗ hổng nghiêm trọng có thể cho phép hacker chiếm đoạt tài khoản của người dùng bằng mật khẩu được mã hóa cứng. Điều đáng nói ở đây là hacker có thể thực hiện cuộc tấn công từ xa.
Lỗ hổng này được chính nhân viên của GitLab phát hiện ra và được theo dõi dưới mã CVE-2022-1162. Nó ảnh hưởng tới cả GitLab Community Edition (CE) và Enterprise Edition (EE).
CVE-2022-1162 xuất phát từ việc mật khẩu tĩnh vô tình được đặt trong quá trình đăng ký dựa trên OmniAuth trong GitLab CE/EE.
"Mật khẩu được mã hóa cứng đã được đặt cho các tài khoản được đăng ký bằng nhà cung cấp OmniAuth (ví dụ: OAuth, LDAP, SAML) trong GitLab CE/EE phiên bản 14.7 trước 14.7.7, 14.8 trước 14.8.5 và 14.9 trước 14.9.2 cho phép hacker chiếm quyền kiểm soát tài khoản", nhóm GitLab chia sẻ.
GitLab kêu gọi người dùng ngay lập tức nâng cấp tất cả các bản cài đặt GitLab lên phiên bản mới nhất (14.9.2, 14.8.5 hoặc 14.7.7) để ngăn chặn nguy cơ bị tấn công.
Như một phần nỗ lực nhằm giảm thiểu thiệt hại của CVE-2022-1162, GitLab cho biết họ đã đặt lại mật khẩu của một số người dùng GitLab.com. Bên cạnh đó, một commit vừa được submitt gần đây cho thấy GitLab đã xóa tệp "lib/gitlab/password.rb" được sử dụng để gắn mật khẩu được mã hóa cứng yếu cho hàng số "TEST_DEFAULT".
GitLab cho biết chưa thấy bằng chứng nào về việc tài khoản người dùng bị xâm nhập bởi hacker bằng cách khai thác lỗ hổng này. Dẫu vậy, GitLab vẫn tạo ra một tập lệnh để các quản trị viên có thể sử dụng nhằm xác định tài khoản người dùng có khả năng bị ảnh hưởng bởi CVE-2022-1162. Chi tiết về lỗ hổng và cách tải về tập lệnh bạn có thể xem tại đây.
Sau khi xác định được tài khoản người dùng có khả năng bị ảnh hưởng, quản trị viên nên đặt lại mật khẩu của người dùng.
Hơn 100.000 tổ chức sử dụng nền tảng DevOps của GitLab và ước tính có hơn 30 triệu người dùng từ 66 quốc gia đăng ký tài khoản của nền tảng này.