สำนักงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้ออกคำสั่งให้หน่วยงานภาครัฐดำเนินการแก้ไขช่องโหว่เก่าแก่ของ GitLab ที่มีอายุห้าปี ซึ่งเป็นช่องโหว่ประเภท Server-Side Request Forgery (SSRF) ที่กำลังถูกใช้ในการโจมตีอยู่ในขณะนี้ โดยช่องโหว่นี้ถูกค้นพบและแก้ไขตั้งแต่เดือนธันวาคม 2021 แต่ยังคงมีกลุ่มผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่นี้อยู่
Severity: วิกฤต
System Impact:
- GitLab Community Edition (CE) และ Enterprise Edition (EE) ทุกเวอร์ชันตั้งแต่ 10.5 ก่อน 14.3.6, ทุกเวอร์ชันตั้งแต่ 14.4 ก่อน 14.4.4, และทุกเวอร์ชันตั้งแต่ 14.5 ก่อน 14.5.2
- CI Lint API ของ GitLab
- ระบบของหน่วยงาน Federal Civilian Executive Branch (FCEB) ในสหรัฐอเมริกา
- องค์กรภาคเอกชนและภาครัฐทั่วโลกที่ใช้งานแพลตฟอร์ม GitLab (เช่น Nvidia, Airbus, Goldman Sachs, T-Mobile, Lockheed Martin)
Technical Attack Steps:
- ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตน (unauthenticated attackers) และไม่มีสิทธิ์ใดๆ สามารถใช้ประโยชน์จากช่องโหว่ Server-Side Request Forgery (SSRF) (CVE-2021-39935) ใน GitLab ได้
- ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึง CI Lint API
- CI Lint API ซึ่งใช้สำหรับจำลอง Pipeline และตรวจสอบการตั้งค่า CI/CD สามารถถูกใช้เพื่อทำการร้องขอ Server-Side (Server Side Requests) โดยไม่ได้รับอนุญาต
Recommendations:
Short Term:
- หน่วยงาน Federal Civilian Executive Branch (FCEB) ต้องอัปเดตและแพตช์ระบบภายในสามสัปดาห์ (ภายในวันที่ 24 กุมภาพันธ์ 2026) ตามคำสั่ง Binding Operational Directive (BOD) 22-01
- องค์กรทั้งหมด รวมถึงภาคเอกชน ควรจัดลำดับความสำคัญในการรักษาความปลอดภัยอุปกรณ์ของตนจากการโจมตี CVE-2021-39935 ที่กำลังเกิดขึ้น
- ติดตั้งแพตช์สำหรับ GitLab เวอร์ชันที่ได้รับผลกระทบ (อัปเดตเป็นเวอร์ชัน 14.3.6, 14.4.4, หรือ 14.5.2 หรือใหม่กว่า) ทันที
Long Term:
- ติดตามข่าวสารและคำเตือนด้านความปลอดภัยจาก CISA และผู้ผลิตซอฟต์แวร์อย่างสม่ำเสมอ
- พัฒนากระบวนการจัดการช่องโหว่และการอัปเดตระบบให้มีประสิทธิภาพและต่อเนื่อง
- ตรวจสอบและจัดการการเปิดเผยของระบบ GitLab ที่เชื่อมต่อกับอินเทอร์เน็ตอย่างรอบคอบ เพื่อลดพื้นที่การโจมตี (ปัจจุบัน Shodan ตรวจพบอุปกรณ์ GitLab ที่เปิดเผยกว่า 49,000 เครื่อง)
Share this content: