Sélection de la langue

Alerte - Vulnérabilité touchant GitLab (CVE-2023-7028)

Numéro : AL24-002
Date : 15 janvier 2024

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. et d’atténuation. Le Centre canadien pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 11 janvier, le Centre pour la cybersécurité a été informé de vulnérabilités critiques touchant plusieurs versions de GitLab Community Edition (CE) et de GitLab Enterprise Edition (EE). La vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. CVE-2023-7028, qui permet de prendre le contrôle d’un compte en procédant à la réinitialisation du mot de passe, s’est vu accorder le score maximal de 10 par le système de notation des vulnérabilités courantes (CVSS pour Common Vulnerability Scoring System)Note de bas de page1. Le 12 janvier, le Centre pour la cybersécurité a publié le bulletin AV24-025 pour faire part des vulnérabilités et encourager les lectrices et lecteurs à appliquer des correctifs dans les plus brefs délaisNote de bas de page2. Un peu plus tard au cours de cette même journée, le Centre pour la cybersécurité a été mis au courant de nombreuses preuves de concept qui semblent exploiter la vulnérabilité CVE-2023-7028. Les services autogérés de GitLab sont à fort risque d’être ciblés et exploités prochainement.

La vulnérabilité touche les versions suivantes des instances autogérées de GitLab :

  • version 16.1 à 16.1.5;
  • version 16.2 à 16.2.8;
  • version 16.3 à 16.3.6;
  • version 16.4 à 16.4.4;
  • version 16.5 à 16.5.5;
  • version 16.6 à 16.6.3;
  • version 16.7 à 16.7.1.

Mesures recommandées

Le Centre pour la cybersécurité recommande fortement de prendre les mesures suivantes :

  • Les organisations qui utilisent une version touchée de GitLab devraient veiller à ce que le service soit inaccessible jusqu’à l’installation des correctifs
    • GitLab encourage les utilisatrices et utilisateurs à ne pas omettre les points de mise à niveau, puisqu’une telle omission pourrait provoquer de l’instabilité, la version 16.3.x étant un point de mise à niveau obligatoire.
  • Bien que la vulnérabilité CVE-2023-7028 puisse toujours mener à une réinitialisation fructueuse du mot de passe, la mise en œuvre de l’authentification à deux facteurs (A2F) empêchera les auteures et auteurs de menace malveillants d’accéder aux comptes compromis. Le recours à l’A2F permettra de s’assurer que les auteures et auteurs de menace malveillants n’arrivent pas à ouvrir une session au moyen de justificatifs d’identité compromis.
  • Les organisations devraient consulter et mettre en œuvre les 10 mesures de sécurité des TINote de bas de page3 du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :
    • l’intégration, la surveillance et la défense des passerelles Internet;
    • l’application de correctifs aux applications et aux systèmes d’exploitation;
    • la segmentation et la séparation de l’information;
    • la protection de l’information au niveau de l’organisme.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.

Date de modification :