Governo alerta para vulnerabilidade crítica na plataforma DevOps GitLab

O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) publicou uma advertência sobre uma vulnerabilidade de segurança grave na plataforma de DevOps GitLab. De acordo com o Common Vulnerabilities and Exposures (CVE), a vulnerabilidade afeta as versões de 11.3.4 até 15.1.5, de 15.2 até 15.2.3 e de 15.3 até 15.3.1 e permite que um usuário autenticado possa executar códigos remotamente.

Os especialistas de segurança do governo advertem que para a exploração da vulnerabilidade há necessidade de credenciais válidas, obtidas através de ações de engenharia social ou brute force. Assim sendo, ressaltamos a necessidade da ampla divulgação perante público interno, de campanhas tratando a respeito de ameaças associadas à Engenharia Social, assim como medidas para dificultar os ataques à força bruta.

Lembram ainda que muitas instâncias de GitLab armazenam dados críticos de suas organizações e uma vez que o servidor seja comprometido, códigos e dados de projetos também poderão ser acessados e vazados. A solicitação é que as instituições da Administração Pública Federal (APF) e as demais entidades/instituições, ao identicarem sistemas GitLab vulneráveis sob sua responsabilidade, apliquem com urgência as devidas correções, conforme orientações do mantenedor, disponíveis no link: https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/