Close Menu
    Facebook X (Twitter) Instagram
    Gossip Italiano
    • Casa
    • Notizie principali
    • Mondo
    • Economia
    • Tecnologia
    • Sport
    • Divertimento
    • Scienza
    • Modulo di Contatto
    Gossip Italiano
    Home»Tecnologia»CISA lancia l'allarme su un difetto critico in GitLab sotto sfruttamento attivo
    Tecnologia

    CISA lancia l'allarme su un difetto critico in GitLab sotto sfruttamento attivo

    Federico CarusoBy Federico CarusoMaggio 2, 2024Nessun commento4 Mins Read
    Facebook Twitter Pinterest LinkedIn Tumblr Email
    CISA lancia l'allarme su un difetto critico in GitLab sotto sfruttamento attivo
    Share
    Facebook Twitter LinkedIn Pinterest Email

    Agenzia statunitense per la sicurezza informatica e le infrastrutture (CISA). Di nome Una vulnerabilità critica colpisce il popolare gestore di repository basato su Git getlab Come vulnerabilità sfruttata nota (KEV). Questa mossa arriva in risposta ai tentativi di exploit attivi che sono stati rilevati, sottolineando l’urgente necessità per le organizzazioni di applicare immediatamente gli aggiornamenti di sicurezza.

    Il difetto critico (punteggio CVSS: 10,0), tracciato come CVE-2023-7028, potrebbe consentire agli avversari di assumere il controllo degli account utente inviando e-mail di reimpostazione della password a indirizzi e-mail non verificati. Il catalogo KEV della CISA elenca le vulnerabilità della sicurezza informatica pubblicamente note che rappresentano un rischio elevato per le agenzie federali e vengono attivamente sfruttate dagli autori delle minacce.

    GitLab ha inizialmente rivelato la falla nel gennaio 2023. La vulnerabilità, introdotta come parte di una modifica al codice nella versione 16.1.0 rilasciata il 1 maggio 2023, colpisce “tutti i meccanismi di autenticazione” nelle versioni interessate.

    “Inoltre, gli utenti che hanno abilitato l'autenticazione a due fattori sono vulnerabili alla reimpostazione della password ma non al controllo dell'account poiché per accedere è richiesto un secondo fattore di autenticazione”, GitLab inserzionista Nella sua consultazione.

    Secondo i ricercatori sulla sicurezza, le conseguenze di uno sfruttamento riuscito potrebbero essere gravi.

    Società di sicurezza cloud Mitiga alla cautela Un utente malintenzionato che prendesse il controllo di un account utente GitLab potrebbe rubare informazioni e credenziali sensibili e persino inserire codice dannoso nei repository del codice sorgente, aprendo la strada agli attacchi alla catena di fornitura.

    “Per gli aggressori e i malintenzionati interni che lo sfruttano, GitLab rappresenta qualcos'altro: una ricca fonte di valore organizzativo piena di proprietà intellettuale. Pertanto, comprendere i rischi di potenziali attacchi e usi impropri è importante per gli utenti di GitLab.”

    “Un utente malintenzionato che ottiene l’accesso a una configurazione della pipeline CI/CD potrebbe incorporare codice dannoso progettato per filtrare dati sensibili, come informazioni di identificazione personale (PII) o token di autenticazione, e reindirizzarlo a un server controllato dall’avversario.

    “Allo stesso modo, la manomissione del codice del repository può comportare l’introduzione di malware che compromette l’integrità del sistema o introduce backdoor per l’accesso non autorizzato. Codice dannoso o abuso di percorsi possono portare al furto di dati, all’interruzione del codice, all’accesso non autorizzato e agli attacchi alla catena di fornitura”.

    Da allora GitLab ha rilasciato patch per risolvere la vulnerabilità nelle versioni 16.5.6, 16.6.4 e 16.7.2, con backport disponibili per le versioni 16.1.6, 16.2.9, 16.3.7 e 16.4.5.

    La decisione della CISA di aggiungere CVE-2023-7028 al catalogo KEV sottolinea la gravità del difetto e i potenziali rischi che pone alle agenzie federali e alle infrastrutture critiche. Secondo le linee guida dell'agenzia, le agenzie civili federali devono implementare gli aggiornamenti necessari entro il 22 maggio 2024 per proteggere le proprie reti da potenziali tentativi di sfruttamento.

    Anche se la CISA non ha fornito dettagli specifici su come sfruttare efficacemente la vulnerabilità, le linee guida dell'agenzia sottolineano l'importanza di applicare patch tempestivamente, soprattutto di fronte a minacce sempre più sofisticate e persistenti che prendono di mira le catene di fornitura del software.

    (Immagine dalla fotografia Leandro Mazzucchini)

    Guarda anche: L'implementazione di GitHub 2FA migliora la sicurezza della catena di fornitura

    CISA lancia l'allarme su un difetto critico in GitLab sotto sfruttamento attivo

    Vuoi saperne di più sulla sicurezza informatica e sul cloud dai leader del settore? pagando Expo sulla sicurezza informatica e sul cloud Si svolgerà ad Amsterdam, in California e a Londra. Questo evento completo è collocato in contemporanea con altri eventi importanti, tra cui Blocco X, Settimana della trasformazione digitale, Mostra sulla tecnologia dell'Internet delle cose E Mostra Intelligenza Artificiale e Big Data.

    Esplora altri eventi e webinar sulla tecnologia aziendale forniti da TechForge Qui.

    tag: CISA, codifica, sicurezza informatica, sviluppo, exploit, git, gitlab, hacking, infosec, programmazione, sicurezza, vulnerabilità

    Federico Caruso

    Federico Caruso è autore per Gossipitaliano.net e si occupa di seguire l’attualità con un approccio chiaro, accurato e orientato ai lettori. Scrive su temi che spaziano dalle notizie di cronaca e politica al business, dalla tecnologia allo sport, fino all’intrattenimento e al lifestyle. Il suo obiettivo è offrire informazioni affidabili, spiegazioni comprensibili e approfondimenti sui fatti e sulle storie che hanno un impatto concreto sulla vita quotidiana e sull’interesse del pubblico.

    Share. Facebook Twitter Pinterest LinkedIn Tumblr Email

    Articoli correlati

    Due fisici italiani risolvono un problema aperto da oltre dieci anni grazie al supporto dell’intelligenza artificiale

    Luglio 11, 2026

    Gemini, così si crea un clone AI fotorealistico con la nuova funzione avatar di Google

    Maggio 23, 2026

    macOS 27: Apple corregge i problemi di Liquid Glass e migliora l’esperienza grafica

    Maggio 11, 2026
    Leave A Reply Cancel Reply

    • riguardo a noi
    • Modulo di Contatto
    • DMCA
    • Politica Editoriale
    • politica sulla riservatezza
    • Gossip Italiano – News, Celebrità e Tendenze
    © 2026 Gossip Italiano. All rights reserved.

    Type above and press Enter to search. Press Esc to cancel.