GitLab предупредила о критической уязвимости для взлома учётной записи и выполнения команд

[dartraiden]

Передаю привет всем хейтерам двухфакторной авторизации.

Если кто не понял: уязвимость позволяет отправить ссылку на сброс пароля на произвольный адрес эл. почты. Если на учётке не включена двухфакторная авторизация, атакующий отправляет ссылку себе на почту, сбрасывает пароль и захватывает учётку. При включённой 2FA он не сможет зайти в аккаунт, т.к. будет знать только пароль, но не второй фактор.

[georgiy08]

На большей части сервисов 2FA легко обходится, отправляя код на почту (если она была взломана и есть доступ к ней), а не беря из приложения.

[MountainGoat]

Чтобы можно было перевести второй фактор с одного типа на другой, не предъявив при этом первого - такого дебилизма я не видел никогда, не говоря уже о "большей части сервисов".

Обычно наоборот, паранойя зашкаливает. Когда менял свой основной ящик, узнал что на трети сервисов нельзя поменять ящик, не имея доступа к старому. Потерял ящик - потерял все привязанные к нему аккаунты, и не важно, что у тебя есть пароль и 2FA.

[dartraiden]

Конкретно в этом сценарии с этой уязвимостью:

1) Почту пользователя ещё надо сломать. Атакующий восстановит пароль на свою почту (об чём собственно эта CVE), но не факт, что отправка кода второго фактора подвержена такой же уязвимости - тогда код уйдёт лишь на почту пользователя, которая злоумышленнику не доступна

2) Ещё и отправка кода на почту должна быть среди доступных вторых факторов. Например, у Microsoft есть такая опция, но именно как опция. Опасаешься - не делай почту вторым фактором.

Всё это уже гораздо сложнее, чем просто угнать пароль, подставив в запросе восстановления пароля свой адрес почты в массив.

Не, ну если претензии к двухфакторной авторизации сводятся к тому, что она неидеальна и при некоторых условиях даже её можно обойти, тогда я сдаюсь.

[alexkuzko]

Этой уязвимости уже столько времени... Статья неактуальная и запоздалая...

[Hint]

Уязвимость старая, но закрыта была только 2 дня назад:
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
Для тех, кто держит сервер с gitlab у себя, новость полезная.

[alexkuzko]

Я это к тому, что например с аналогичной по серьезности уязвимости для Atlassian её начали эксплуатировать в тот же день. Поэтому новость с задержкой в два дня полезна только "неуловимым Джо", раз их до сих пор не сломали.

При этом могу согласиться что надо с чего-то начинать... Может потом новости будут выходить как положено :)

[navion]

Узявимость в Confluence начали эксплуатировать через одну-две недели после выхода патчей с рассылкой от Atlassian - когда журналисты стали про неё писать.