Er zijn verschillende kwetsbaarheden verholpen in het online ontwikkelplatform GitLab. GitLab is een cloud-based platform waarop programmeurs (samenwerkend) aan softwareontwikkeling doen. De kwetsbaarheden zijn aangetroffen in zowel de Community Edition als de Enterprise Edition van GitLab.
GitLab schaalt deze kwetsbaarheid in als ‘kritiek’ en het NCSC heeft de kwetsbaarheid geclassificeerd als High/High; de kans op misbruik is groot is en de schade kan aanzienlijk zijn.
Wat is er aan de hand?
Het gaat om beveiligingslekken in de versies 14.9.2, 14.8.5 en 14.7.7 van de Community Edition en Enterprise Edition.
Vooral de kwetsbaarheid aangemerkt met CVE-2022-1162 vraagt om speciale aandacht. Deze kwetsbaarheid stelt dat accounts die zijn opgezet met het authenticatiesysteem “OmniAuth” een statisch wachtwoord hebben meegekregen. Dit maakt het voor kwaadwillenden mogelijk om accounts over te nemen. GitLab geeft aan dat vooralsnog geen misbruik is gezien, maar heeft uit voorzorg een select aantal wachtwoorden gereset voor het platform GitLab.com.
Wat kun je doen?
GitLab heeft beveiligingsupdates uitgebracht om de kwetsbaarheden te verhelpen. De webomgeving van GitLab.com draait al op een gepatchte versie. Als je gebruik maakt van een lokaal geïnstalleerde versie van GitLab, upgrade dan zo snel mogelijk naar de laatste versie. Mocht je niet zeker weten hoe dit moet, of mocht je twijfelen, neem dan contact op met je IT-leverancier of GitLab.
Ook raden we je aan om tweefactorauthenticatie te activeren op GitLab omgevingen. Deze maatregel biedt aanvullende bescherming bij zwakke of kwetsbare wachtwoorden.
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.