อัปเดตด่วน ! GitLab มีช่องโหว่ร้ายแรง อาจส่งผลต่อความปลอดภัยของซอฟต์แวร์ !

บริษัท GitLab ผู้ให้บริการแพลตฟอร์ม Git ยอดนิยมอันดับ 2 รองจาก GitHub แจ้งเตือนผู้ใช้งานให้รีบอัปเดตแพลตฟอร์มเพื่อป้องกันช่องโหว่ด้านความปลอดภัยร้ายแรง

โดยช่องโหว่ดังกล่าว (CVE-2024-5655) จะผลกระทบต่อผู้ใช้งาน GitLab เวอร์ชัน 15.8-16.11.5, 17.0-17.0.3 และ 17.1-17.1.1 โดยช่องโหว่นี้จะเปิดช่องให้ผู้ไม่หวังดีสามารถรันโปรแกรมทดสอบ และประมวลผลซอฟต์แวร์ (Pipeline) ในนามของผู้ใช้งานคนอื่นได้

ภาพจาก https://www.youtube.com/watch?v=NQsshrqdeXg

ระบบ Pipeline ทำหน้าที่ในการรวบรวม, ทดสอบ และเตรียมซอฟต์แวร์ให้อัตโนมัติ ซึ่งหมายความว่าหากผู้ไม่หวังดีสามารถรัน Pipeline ในนามของผู้ใช้งานอื่นได้ พวกเขาอาจจะเข้าถึงคลังข้อมูลส่วนตัว, แก้ไข, ขโมย หรือดึงข้อมูลสำคัญภายในคลังออกไปได้

แม้ว่า GitLab จะยังไม่พบหลักฐานการโจมตีด้วยช่องโหว่นี้ในขณะนี้ แต่ความเสี่ยงก็ยังคงอยู่ นอกจากผลกระทบด้านความปลอดภัยแล้ว ช่องโหว่นี้อาจส่งผลกระทบต่อการปฏิบัติตามข้อกำหนดต่าง ๆ ด้วย

“ในกรณีที่เลวร้ายที่สุด ช่องโหว่นี้อาจส่งผลต่อบริษัทด้านการเงินได้แม้ไม่มีใครโจมตีจริง” เจมี่ บูท (Jamie Boote) ที่ปรึกษาจาก Synopsys Software Integrity Group กล่าว “การที่ซอฟต์แวร์ถูกพัฒนาบนแพลตฟอร์ม GitLab ที่มีช่องโหว่ อาจก่อให้เกิดความกังวลได้เช่นกัน”

“ช่องโหว่ในระบบ Pipeline ไม่เพียงแต่ส่งผลกระทบด้านความปลอดภัย แต่ยังส่งผลกระทบด้านกฎระเบียบด้วย โดยเฉพาะบริษัทในสหรัฐอเมริกาที่จำเป็นต้องปฏิบัติตามข้อกำหนดการรับรองความปลอดภัยของซอฟต์แวร์เพื่อจำหน่ายให้กับรัฐบาล การละเลยช่องโหว่นี้อาจส่งผลต่อการอนุมัติการขายและสัญญาต่างๆ ได้” คุณบูท อธิบายเพิ่ม

ช่องโหว่ดังกล่าวยังส่งผลต่อข้อกำหนดเกี่ยวกับการรับรองความปลอดภัยของซอฟต์แวร์ ซึ่งกำหนดให้บริษัทต่างๆ ต้องมีการยืนยันความปลอดภัยในการพัฒนาซอฟต์แวร์ รวมถึงการใช้งาน Multi-Factor Authentication และ Conditional Access เพื่อลดความเสี่ยงด้านความปลอดภัย

“บริษัทที่ไม่ดำเนินการแก้ไขช่องโหว่นี้อาจไม่สามารถปฏิบัติตามข้อกำหนดดังกล่าวได้ เนื่องจากช่องโหว่จะช่วยให้ผู้ไม่หวังดีสามารถหลีกเลี่ยงระบบควบคุมการเข้าถึงที่บริษัทใช้เพื่อปฏิบัติตามกฎระเบียบเหล่านั้น” เจมี่ บูท กล่าวสรุปส่งท้าย