GitLab выпустила обновления безопасности для устранения двух критических уязвимостей в платформе DevSecOps.

Один из багов выбил страйк по CVSS и имеет максимальный балл серьезности 10 из 10, позволяя злоумышленникам захватывать аккаунты без взаимодействия с пользователем.

Проблема, отслеживаемая как CVE-2023-7028, связана с аутентификацией и позволяет отправлять запросы на сброс пароля на произвольные, непроверенные адреса электронной почты.

Это может привести к компрометации аккаунта и серьезным последствиям для организаций, использующих платформу для хранения конфиденциальных данных.

Другим печальным последствием может оказаться атака на цепочку поставок, когда злоумышленники могут скомпрометировать репозитории, вставляя вредоносный код в живые среды, где GitLab используется для CI/CD.

Вторая критическая проблема, CVE-2023-5356, имеет не менее критичную оценку серьезности в 9,6 из 10, которая связана с интеграцией Slack/Mattermost, где злоумышленник способен использовать эту ошибку для выполнения слэш-команд от имени другого пользователя.

Несмотря на то, что GitLab не обнаружила никаких случаев активного использования этих уязвимостей, тем не менее предоставила IOC и настойчиво рекомендовала пользователям обновить уязвимые версии платформы как можно скорее.

Обновления доступны из коробки, но для некоторых типов развертываний может потребоваться ручное обновление.

Вместе с последними обновлениями были исправлены и другие недостатки, такие как CVE-2023-4812, CVE-2023-6955 и CVE-2023-2030 пусть с менее низкими оценками серьезности, но все же требующие внимания с точки зрения безопасности.

https://securityconversations.com/episode/costin-raiu-the-great-exit-interview/
"In this exit interview, Costin digs into why he left the GReAT team after 13 years at the helm, ethical questions on exposing certain APT operations, changes in the nation-state malware attribution game, technically impressive APT attacks, and the 'dark spots' where future-thinking APTs are living."

https://info.aquasec.com/runtime-series-emea
"Navigating the Landscape of Runtime Security: A Three-Part Webinar Series
This series is designed to guide you through the journey of establishing and maintaining robust security protocols for your cloud native workloads.

Starting with foundational knowledge of the cloud native threat landscape and moving through advanced threat detection to effective incident response, this series equips you with the tools and insights needed to navigate the evolving landscape of cloud native runtime security.

Participants will gain a deep understanding of why runtime security is crucial in the current containerized driven era and how to implement it effectively using state-of-the-art strategies and technologies. "

И сам отчет в целом интересный =)

Современные микросервисы состоят на 60-80% из стороннего кода и отчет "The State of Software Supply Chain Security 2024" будет как никогда кстати, чтобы разобраться что и как у нас сейчас с цепочками поставки.

В самом канале есть краткие видео с мероприятия.