Un bug critique de GitLab menace les pipelines de développement de logiciels
Une vulnérabilité critique de GitLab pourrait permettre à un attaquant d’exécuter un pipeline sous le nom d’un autre utilisateur.
GitLab est un référentiel Git populaire, deuxième seulement après GitHubavec des millions d’utilisateurs actifs. Cette semaine, il a publié nouvelles versions de ses éditions Community (open source) et Enterprise.
Les mises à jour comprennent des correctifs pour 14 problèmes de sécurité différents, notamment la falsification de requêtes intersites (CSRF), les scripts intersites (XSS), le déni de service (DoS), etc. L’un des problèmes est considéré comme de faible gravité selon le Common Vulnerability Scoring System (CVSS), neuf sont de gravité moyenne et trois sont de gravité élevée, mais il existe également un bug critique avec un score CVSS de 9,6 sur 10.
La faille CVE-2024-5655 constitue une menace critique pour le développement de code
La vulnérabilité critique CVE-2024-5655 affecte les versions de GitLab à partir de 15.8 avant 16.11.5, à partir de 17.0 avant 17.0.3 et à partir de 17.1 avant 17.1.1, selon la société. Elle permet à un attaquant de déclencher un pipeline sous l’identité d’un autre utilisateur, mais uniquement dans des circonstances que GitLab n’a pas précisées (ni fourni d’autres informations sur la vulnérabilité).
Un pipeline automatise le processus de création, de test et de déploiement de code dans GitLab. Théoriquement, un attaquant ayant la possibilité d’exécuter des pipelines comme d’autres utilisateurs peut accéder à leurs référentiels privés et manipuler, voler ou exfiltrer le code et les données sensibles qu’ils contiennent.
Contrairement à CVE-2023-7028 Un bug de prise de contrôle de compte 10 sur 10 connu pour avoir été exploité plus tôt ce printemps GitLab n’a jusqu’à présent trouvé aucune preuve d’exploitation de CVE-2024-5655 dans la nature. Cependant, cela pourrait rapidement changer.
Un problème de conformité, pas seulement de sécurité
Les problèmes profondément enracinés dans le processus de développement, comme CVE-2024-5655, peuvent parfois causer des maux de tête au-delà du simple risque qu’ils représentent sur papier.
« Dans le pire des cas, cette vulnérabilité n’a même pas besoin d’être exploitée pour coûter de l’argent aux entreprises en termes de perte de revenus », explique Jamie Boote, consultant principal associé chez Synopsys Software Integrity Group. Le simple fait qu’un logiciel ou un produit piloté par logiciel ait été créé à l’aide d’une version vulnérable de GitLab peut en soi être source d’inquiétude.
« Les vulnérabilités des pipelines comme celle-ci peuvent non seulement constituer un risque de sécurité « Mais cela représente également un risque réglementaire et de conformité. Alors que les entreprises américaines s’efforcent de se conformer aux exigences du formulaire d’auto-attestation qu’elles doivent remplir pour vendre des logiciels et des produits au gouvernement américain, ne pas remédier à cette vulnérabilité pourrait entraîner un manque de conformité qui pourrait mettre en péril les ventes et les contrats », explique-t-il. Il pointe notamment du doigt la ligne 1c de la section III des instructions du formulaire d’attestation de développement de logiciels sécurisés du ministère américain du Commerce, qui exige « l’application de l’authentification multifacteur et de l’accès conditionnel dans les environnements pertinents pour le développement et la création de logiciels d’une manière qui minimise les risques de sécurité ».
« La conformité avec l’article 1c est compromise pour les entreprises qui ne traitent pas cette vulnérabilité, car un exploit permettrait aux attaquants de contourner les contrôles d’accès conditionnels sur lesquels les entreprises s’appuient pour se conformer », conclut-il.