Alerte - Vulnérabilité touchant GitLab (CVE-2023-7028)

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 11 janvier, le Centre pour la cybersécurité a été informé de vulnérabilités critiques touchant plusieurs versions de GitLab Community Edition (CE) et de GitLab Enterprise Edition (EE). La vulnérabilité CVE-2023-7028, qui permet de prendre le contrôle d’un compte en procédant à la réinitialisation du mot de passe, s’est vu accorder le score maximal de 10 par le système de notation des vulnérabilités courantes (CVSS pour Common Vulnerability Scoring System)^{Note de bas de page1}. Le 12 janvier, le Centre pour la cybersécurité a publié le bulletin AV24-025 pour faire part des vulnérabilités et encourager les lectrices et lecteurs à appliquer des correctifs dans les plus brefs délais^{Note de bas de page2}. Un peu plus tard au cours de cette même journée, le Centre pour la cybersécurité a été mis au courant de nombreuses preuves de concept qui semblent exploiter la vulnérabilité CVE-2023-7028. Les services autogérés de GitLab sont à fort risque d’être ciblés et exploités prochainement.

La vulnérabilité touche les versions suivantes des instances autogérées de GitLab :

• version 16.1 à 16.1.5;
• version 16.2 à 16.2.8;
• version 16.3 à 16.3.6;
• version 16.4 à 16.4.4;
• version 16.5 à 16.5.5;
• version 16.6 à 16.6.3;
• version 16.7 à 16.7.1.

Mesures recommandées

Le Centre pour la cybersécurité recommande fortement de prendre les mesures suivantes :

• Les organisations qui utilisent une version touchée de GitLab devraient veiller à ce que le service soit inaccessible jusqu’à l’installation des correctifs
  • GitLab encourage les utilisatrices et utilisateurs à ne pas omettre les points de mise à niveau, puisqu’une telle omission pourrait provoquer de l’instabilité, la version 16.3.x étant un point de mise à niveau obligatoire.
• Bien que la vulnérabilité CVE-2023-7028 puisse toujours mener à une réinitialisation fructueuse du mot de passe, la mise en œuvre de l’authentification à deux facteurs (A2F) empêchera les auteures et auteurs de menace malveillants d’accéder aux comptes compromis. Le recours à l’A2F permettra de s’assurer que les auteures et auteurs de menace malveillants n’arrivent pas à ouvrir une session au moyen de justificatifs d’identité compromis.
• Les organisations devraient consulter et mettre en œuvre les 10 mesures de sécurité des TI^{Note de bas de page3} du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :
  • l’intégration, la surveillance et la défense des passerelles Internet;
  • l’application de correctifs aux applications et aux systèmes d’exploitation;
  • la segmentation et la séparation de l’information;
  • la protection de l’information au niveau de l’organisme.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.