Détection d’Exploitation CVE-2023-2825 : GitLab Exhorte les Utilisateurs à Corriger Rapidement une Vulnérabilité de Gravité Maximale

GitLab a récemment publié sa dernière mise à jour de sécurité critique v. 16.0.1, abordant une vulnérabilité de traversée de chemin suivie sous le nom de CVE-2023-2825 avec un score CVSS atteignant la limite maximale de 10.0. La mise à jour affecte les installations exécutant la version 16.0.0, les versions logicielles antérieures n’étant pas impactées. L’exploitation réussie d’une faille de sécurité hautement critique permet à des adversaires non authentifiés d’abuser d’informations sensibles en raison d’un compromis du système.

Détecter les tentatives d’exploitation de CVE-2023-2825

Étant donné que CVE-2023-2825 obtient le score de gravité le plus élevé et pourrait affecter plus de 30 millions d’utilisateurs de GitLab, les professionnels de la cybersécurité ont besoin d’une source fiable de contenu de détection pour identifier les tentatives d’exploitation possibles et défendre de manière proactive l’infrastructure organisationnelle. La plateforme SOC Prime offre une règle Sigma organisée visant à détecter les exploits pour la vulnérabilité de lecture de fichiers arbitraires de GitLab (CVE-2023-2825).

Tentative possible d’exploitation de GitLab CVE-2023-2825 (via le serveur web)

Cette règle Sigma de l’équipe SOC Prime est compatible avec 18 solutions SIEM, EDR, XDR et BDP et est alignée avec le cadre MITRE ATT&CK v12 abordant la tactique d’accès initial avec Exploit Public-Facing Application (T1190) comme technique correspondante.

Pour déjouer les attaquants et toujours garder une longueur d’avance sur les menaces associées aux vulnérabilités émergentes, SOC Prime fournit un contenu de détection organisé aidant les organisations à optimiser leur posture de cybersécurité par rapport aux risques. En cliquant sur le bouton Explorer les Détections, les organisations peuvent accéder instantanément à encore plus d’algorithmes de détection conçus pour aider à identifier le comportement malveillant lié à l’exploitation de vulnérabilités en vogue. Pour une enquête sur les menaces simplifiée, les équipes peuvent également approfondir les métadonnées pertinentes, y compris les références ATT&CK et CTI.

Explorer les Détections

Description de CVE-2023-2825

La détection proactive de l’exploitation des vulnérabilités figurait parmi les 3 principales priorités de contenu au cours de la période 2021-2022 et occupe toujours l’une des premières positions en raison du nombre toujours croissant d’exploits. Le 23 mars 2023, GitLab a publié son Critical Security Release v. 16.0.1, abordant une vulnérabilité néfaste connue sous le nom de CVE-2023-2825, qui affecte la version d’installation de GitLab 16.0.0. CVE-2023-2825 a été découvert et signalé pour la première fois par un défenseur cybernétique sous le pseudonyme « pwnie » qui a identifié la faille sur le programme de primes aux bugs HackOne.

La faille de sécurité provient d’une anomalie de traversée de chemin qui permet à des adversaires non authentifiés de lire des fichiers arbitraires sur le serveur si une pièce jointe existe dans un projet public imbriqué dans au moins cinq groupes. Les attaques exploitant CVE-2023-2825 pourraient exposer des données sensibles, y compris du code logiciel, des identifiants utilisateur, des jetons, et plus encore.

Indépendamment de l’extrême criticité de la vulnérabilité récemment découverte et de son exposition potentielle des applications affectées à de graves menaces, il n’y a aucune preuve que CVE-2023-2825 ait été exploitée dans la nature. Bien que le fournisseur de logiciels n’ait pas fourni de détails approfondis sur la faille de sécurité, d’autres informations devraient être partagées le mois prochain.. Comme mesure d’atténuation potentielle, GitLab recommande de procéder immédiatement à la mise à jour des installations utilisant la version impactée vers la dernière version.

Comptez sur SOC Prime pour être entièrement équipé avec des contenus de détection contre toute CVE exploitable ou toute TTP utilisée dans les cyberattaques en cours. Obtenez l’accès à plus de 800 algorithmes de détection pour les CVE existants afin de se défendre de manière proactive contre les menaces adaptées à vos besoins de sécurité. Accédez instantanément à plus de 140 règles Sigma gratuitement sur https://socprime.com/ ou obtenez toutes les détections pertinentes avec des abonnements premium à la plateforme SOC Prime à https://my.socprime.com/pricing/.