Die Analyst*innen des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen GitLab, einen Dienst zur Versionsverwaltung von Softwareprojekten, untersucht.
Hierbei wurde eine Schwachstelle identifiziert, die durch die aktuellen Standardeinstellungen in GitLab ermöglicht, dass ein Benutzer unwissend eine sogenannte "Dependency Confusion" Schwachstelle auslöst. Dies geschieht insbesondere, wenn interne Abhängigkeiten von Softwareprojekten in GitLab aus dem öffentlich verwalteten Packetindex PyPi geladen werden. Der Benutzer bettet in diesem Fall unwissentlich schädlichen Code in die unternehmensinternen Anwendungen ein. Ein Angreifer kann sich so mit Leichtigkeit Zugriff auf unternehmensinterne Daten verschaffen. Da GitLab ein eigenes Bug-Bounty-Programm über die Plattform HackerOne bereitstellt, haben wir über das Portal die Schwachstelle dem Hersteller im Rahmen der Responsible Disclosure Policy gemeldet.
Die Schwachstelle wird von unseren Security Analyst*innen mit der Kritikalität "Hoch" bewertet, da das Ausnutzen dieser Schwachstelle erhebliche Risiken für jegliche IT-Systeme birgt. Entgegen der Einschätzung unserer Analyst*innen wurde der initiale Schwachstellenbericht von HackerOne als informationelles Finding geschlossen.
Im weiteren Verlauf der Schwachstellenmeldung erkannte der Hersteller die einhergehenden Risiken und Auswirkungen und bat uns, Änderungsvorschläge an den Standardeinstellungen sowie des Webinterfaces per Issue Ticket und Merge Request einzureichen. Im Zuge unserer Mission „more security“ haben unsere Analyst*innen ihre Änderungsvorschläge dem Hersteller eingereicht. Detaillierte Informationen zu diesem Advisory finden Sie hier.
Über usd HeroLab Security Advisories
Um Unternehmen vor Hackern und Kriminellen zu schützen, müssen wir sicherstellen, dass unsere Fähigkeiten und Kenntnisse stets auf dem neuesten Stand sind. Deshalb ist die Sicherheitsforschung für unsere Arbeit ebenso wichtig wie der Aufbau einer Security Community zur Förderung des Wissensaustausches. Denn mehr Sicherheit kann nur erreicht werden, wenn viele sie zu ihrer Aufgabe machen.
Wir untersuchen die sich ständig im Wandel befindlichen Angriffsszenarien und veröffentlichen in diesem Zusammenhang eine Reihe von Security Advisories zu aktuellen Schwachstellen und Sicherheitsproblemen – stets im Einklang mit den Leitsätzen unserer Responsible Disclosure Policy.
Immer im Namen unserer Mission: „more security.“