Detección de Explotación CVE-2023-2825: GitLab Insta a los Usuarios a Corregir Rápidamente una Vulnerabilidad de Severidad Máxima
Tabla de contenidos:
GitLab ha emitido recientemente su última actualización crítica de seguridad v. 16.0.1, abordando una vulnerabilidad de recorrido de rutas identificada como CVE-2023-2825 con una puntuación CVSS que alcanza el límite máximo de 10.0. La actualización afecta a instalaciones que ejecutan la versión 16.0.0, sin impactar a versiones anteriores del software. La explotación exitosa de un error de seguridad altamente crítico permite a los adversarios no autenticados abusar de información sensible debido a un compromiso del sistema.
Detectar Intentos de Explotación de CVE-2023-2825
Considerando que CVE-2023-2825 obtiene la puntuación de severidad más alta y podría afectar a más de 30 millones de usuarios de GitLab, los profesionales de ciberseguridad requieren una fuente confiable de contenido de detección para identificar posibles intentos de explotación y defender proactivamente la infraestructura organizacional. La plataforma de SOC Prime ofrece una regla Sigma curada dirigida a detectar explotaciones para la vulnerabilidad de Lectura de Archivos Arbitrarios de GitLab (CVE-2023-2825).
Posible Intento de Explotación de GitLab CVE-2023-2825 (a través del servidor web)
Esta regla Sigma del equipo de SOC Prime es compatible con 18 soluciones SIEM, EDR, XDR y BDP y está alineada con el marco MITRE ATT&CK v12 abordando la táctica de Acceso Inicial con la técnica Exploitar Aplicación Expuesta al Público (T1190) como técnica correspondiente.
Para superar a los atacantes y siempre mantenerse al día con las amenazas asociadas a las vulnerabilidades emergentes, SOC Prime proporciona contenido de detección curado que ayuda a las organizaciones a optimizar el riesgo en su postura de ciberseguridad. Al hacer clic en el botón Explorar Detecciones, las organizaciones pueden obtener acceso instantáneo a aún más algoritmos de detección diseñados para ayudar a identificar el comportamiento malicioso vinculado a la explotación de vulnerabilidades de tendencia. Para una investigación de amenazas simplificada, los equipos también pueden profundizar en metadatos relevantes, incluidas referencias de ATT&CK y CTI.
Descripción de CVE-2023-2825
La detección proactiva de la explotación de vulnerabilidades estuvo entre las 3 principales prioridades de contenido durante el período de 2021-2022 y aún mantiene una de las posiciones líderes debido al número siempre creciente de explotaciones. El 23 de marzo de 2023, GitLab emitió su Liberación Crítica de Seguridad v. 16.0.1, abordando una nefasta vulnerabilidad conocida como CVE-2023-2825, que afecta a la versión de instalación de GitLab 16.0.0. CVE-2023-2825 fue descubierta y reportada inicialmente por un defensor cibernético bajo el apodo “pwnie” que identificó la falla en el programa de recompensas por errores de HackOne.
La falla de seguridad se origina en un fallo de recorrido de rutas que permite a adversarios no autenticados leer archivos arbitrarios en el servidor en caso de que exista un adjunto en un proyecto público anidado dentro de al menos cinco grupos. Los ataques que aprovechan CVE-2023-2825 podrían exponer datos sensibles, incluidos código de software, credenciales de usuarios, tokens y más.
A pesar de la alta criticidad de la vulnerabilidad recientemente descubierta y su potencial exposición de aplicaciones impactadas a amenazas severas, no hay evidencia de que CVE-2023-2825 haya sido explotado en la naturaleza. Aunque el proveedor de software no ha proporcionado detalles extensos sobre el error de seguridad, se planea compartir más información el próximo mes.. Como medida de mitigación potencial, GitLab recomienda actualizar instantáneamente las instalaciones que utilizan la versión afectada a la más reciente.
Confía en SOC Prime para estar completamente equipado con contenido de detección contra cualquier CVE explotable o cualquier TTP utilizado en los ataques cibernéticos en curso. Obtén acceso a más de 800 algoritmos de detección para CVE existentes para defenderte proactivamente contra amenazas adaptadas a tus necesidades de seguridad. Accede instantáneamente a más de 140 reglas Sigma gratuitas en https://socprime.com/ o consigue todas las detecciones relevantes con suscripciones premium a la plataforma de SOC Prime en https://my.socprime.com/pricing/.
