Platform
gitlab
Component
gitlab
Opgelost in
17.1.7
17.2.5
17.3.2
CVE-2024-8635 beschrijft een server-side request forgery (SSRF) kwetsbaarheid in GitLab Enterprise Edition (EE). Deze kwetsbaarheid stelt een aanvaller in staat om verzoeken te sturen naar interne resources, waardoor potentieel gevoelige data of systemen kunnen worden blootgesteld. De kwetsbaarheid treft GitLab EE versies vanaf 16.8 tot en met 17.3.2. Een patch is beschikbaar in versie 17.3.2.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne services en databases benaderen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot data-exfiltratie, configuratie-wijzigingen, of zelfs de uitvoering van code op interne systemen. De mogelijkheid om interne resources te benaderen, vergroot de aanvalsoppervlakte aanzienlijk en maakt laterale beweging binnen de GitLab-omgeving mogelijk. De impact is vergelijkbaar met scenario's waarbij een aanvaller toegang krijgt tot interne API's of administratieve interfaces.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen indicatie van actieve exploitatie op grote schaal, maar de publicatie van de kwetsbaarheid maakt exploitatie mogelijk. De KEV-status is momenteel onbekend. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven. De kwetsbaarheid is gepubliceerd op 2024-09-12.
Organizations utilizing GitLab Enterprise Edition (EE) with the Maven Dependency Proxy feature enabled are at risk. This includes development teams relying on custom Maven repositories hosted internally and those using GitLab as a central artifact repository. Legacy GitLab EE installations running versions prior to 17.3.2 are particularly vulnerable.
• gitlab: Examine GitLab logs for outbound requests originating from the Maven Dependency Proxy endpoint that target internal resources.
journalctl -u gitlab-sshd | grep 'Maven Dependency Proxy'• gitlab: Check the configuration of the Maven Dependency Proxy to ensure it is not overly permissive.
/opt/gitlab/embedded/service/gitlab-rails/config/gitlab.yml | grep 'maven_dependency_proxy'• generic web: Monitor access logs for requests to the Maven Dependency Proxy endpoint with unusual or unexpected parameters.
grep 'maven_dependency_proxy' /var/log/nginx/access.logdisclosure
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van GitLab EE naar versie 17.3.2 of hoger. Indien een directe upgrade niet mogelijk is, kan het beperken van de Maven Dependency Proxy URL tot vertrouwde bronnen een tijdelijke workaround bieden. Controleer de configuratie van de Maven Dependency Proxy URL en zorg ervoor dat deze alleen toegang heeft tot de noodzakelijke interne resources. Daarnaast kan het implementeren van een Web Application Firewall (WAF) met regels om SSRF-aanvallen te detecteren en blokkeren helpen om de impact te verminderen. Na de upgrade, verifieer de correcte werking van de Maven Dependency Proxy URL en controleer de logs op verdachte activiteit.
Werk GitLab bij naar versie 17.1.7, 17.2.5 of 17.3.2, of een latere versie. Dit corrigeert de SSRF-vulnerabiliteit die aanvallers in staat stelt verzoeken te doen naar interne resources met behulp van een aangepaste Maven Dependency Proxy URL.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-8635 is een server-side request forgery (SSRF) kwetsbaarheid in GitLab Enterprise Edition (EE) waardoor een aanvaller interne resources kan benaderen.
U bent getroffen als u GitLab EE gebruikt in versie 16.8 tot en met 17.3.2.
Upgrade GitLab EE naar versie 17.3.2 of hoger. Beperk de Maven Dependency Proxy URL als tijdelijke workaround.
Er is geen indicatie van actieve exploitatie op grote schaal, maar de publicatie van de kwetsbaarheid maakt exploitatie mogelijk.
Raadpleeg het officiële GitLab-advies op https://gitlab.com/security/advisories/CVE-2024-8635.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.