Эксперты заявляют о необходимости немедленного устранения критической уязвимости обхода двухфакторной аутентификации (2FA) в платформах GitLab версий Community и Enterprise.
Эта брешь стала одной из пяти уязвимостей, исправленных в среду в рамках выпуска новых версий GitLab. Три из них, включая проблему обхода 2FA, получили высокий уровень критичности, а остальные две оценены как средние.
GitLab сообщает, что уязвимость обхода 2FA, CVE-2026-0723, при эксплуатации на необновленной системе, может позволить злоумышленнику, знающему идентификационные данные жертвы, обойти двухфакторную аутентификацию путем отправки поддельных ответов устройства.
Именно эта уязвимость привлекла особое внимание экспертов из-за потенциальных последствий.
Цель многофакторной аутентификации — защита учетных записей с помощью дополнительного шага верификации на случай кражи имен пользователей и паролей. Если злоумышленник получает доступ к учетной записи, он может нанести практически неограниченный ущерб ИТ-системам.
В случае с GitLab, если в учетной записи разработчика хранится критически важный код, злоумышленник может его скомпрометировать, отмечает Дэвид Шипли, руководитель канадской фирмы по обучению основам безопасности Beauceron Security. Если этот код предназначен для использования в программном обеспечении, которое будет загружаться или продаваться другим организациям, внедренный вредоносный код может распространиться в рамках атаки на цепочку поставок. Последним примером, по словам Шипли, является червь Shai-Hulud, который распространяется из-за взлома учетной записи разработчика в реестре npm.
Если код содержит секреты облачных сервисов, злоумышленник может получить доступ к таким облачным платформам, как Azure, Amazon Web Service или Google Cloud Platform, добавил он.
Обнаружение уязвимости обхода 2FA «служит напоминанием о важности этих [средств] безопасности», — сказал Шипли в интервью. «Они, безусловно, помогают снизить ряд рисков: атаки методом перебора (brute force), распыление паролей и так далее. Но они никогда не будут абсолютно надежными.
«Это не первый случай, когда кто-то находит хитрый способ обойти проверки 2FA. У нас есть целая серия атак, связанных с перехватом сессионных cookie, которые также нацелены на обход 2FA. Поэтому важно помнить об этом, когда кто-то представляет некое «Серебряную пулю», полагая, что «Это волшебное решение [проблемы аутентификации]» или «Это плохая MFA. Вот новая MFA». И я включаю сюда [доверие только] Yubikeys», — отметил он. «Yubikeys — потрясающие. Это следующее поколение 2FA. Но поскольку они созданы для людей, в конечном итоге в них появятся какие-то изъяны».
Даже если бы в этих механизмах не было изъянов, сотрудников все равно можно обманом заставить раскрыть учетные данные посредством социальной инженерии, добавил он.
Злоумышленнику будет проще использовать такие методы, как фишинг, для сбора учетных данных пользователей, чем подделывать учетные данные устройства для эксплуатации данной конкретной уязвимости обхода 2FA, считает Йоханнес Ульрих, декан по исследованиям в SANS Institute. Однако, добавил он, получив доступ к действительным паролям, атакующий сможет войти на сервер GitLab и выполнять действия с исходным кодом — загружать, изменять или удалять его — точно так же, как это сделал бы легитимный пользователь.
Что необходимо предпринять руководителям по информационной безопасности
Именно поэтому основы кибербезопасности — эшелонированная защита — жизненно важны для управления идентификацией и доступом, подчеркнул Шипли. Это включает принудительное использование сотрудниками длинных уникальных паролей, мониторинг сети на предмет необычной активности (например, если кто-то вошел без записи о прохождении MFA) и, в случае неудачи всех мер, наличие плана реагирования на инциденты.
Уязвимости обхода MFA очень распространены, отметил Ульрих. «Основная проблема обычно заключается в том, что MFA была добавлена позже в уже существующий продукт», — сказал он, — «и некоторые функции могут некорректно проверять, было ли MFA успешно пройдена».
При тестировании решения многофакторной аутентификации руководители по ИБ всегда должны проверять, не помечает ли приложение аутентификацию как завершенную после верификации имени пользователя и пароля. Включение MFA не должно ослаблять требования к паролям, настаивал он. Пользователи по-прежнему должны выбирать уникальные, надежные пароли и использовать менеджеры паролей для их хранения. Надежные пароли в значительной степени смягчат любые сбои MFA, сказал Ульрих.
Любая уязвимость, обнаруженная в GitLab, является значимой, добавил он. GitLab обычно используется организациями, которые настолько озабочены конфиденциальностью своего кода, что предпочитают запускать платформу на собственных серверах (on-premises).
GitLab «настоятельно» рекомендует обновления
Описывая патчи, выпущенные в среду, GitLab «настоятельно» рекомендует обновить все локально установленные инсталляции GitLab до одной из трех новых версий (18.8.2, 18.7.2, 18.6.4) для GitLab Community Edition (CE) и Enterprise Edition (EE). Тем, кто использует GitLab.com или GitLab Dedicated — версию SaaS с выделенным экземпляром — предпринимать никаких действий не требуется.
Другие уязвимости, исправленные в обновлениях среды, включают:
- CVE-2025-13927 — проблема отказа в обслуживании (DoS) в интеграции Jira Connect. При эксплуатации на необновленной системе это может позволить неаутентифицированному пользователю вызвать отказ в обслуживании путем отправки специально сформированных запросов с некорректными данными аутентификации. Имеет оценку CVSS 7.5;
- CVE-2025-13928 — проблема некорректной авторизации. При эксплуатации на необновленной системе это может позволить неаутентифицированному пользователю вызвать отказ в обслуживании путем использования некорректной валидации авторизации в конечных точках API. Имеет оценку CVSS 7.5;
- CVE-2025-13335 — проблема бесконечного цикла в редиректах Wiki. При определенных обстоятельствах эта уязвимость может позволить аутентифицированному пользователю вызвать отказ в обслуживании путем настройки некорректных документов Wiki, обходящих обнаружение циклов. Оценка CVSS составляет 6.5;
- CVE-2026-1102 — проблема отказа в обслуживании в конечной точке API, которая может позволить неаутентифицированному пользователю вызвать DoS путем многократной отправки некорректных запросов аутентификации SSH. Оценка CVSS составляет 5.3.
В соответствии со стандартной практикой GitLab, подробности об уязвимостях безопасности будут опубликованы в трекере задач через 30 дней после выпуска патчей.
Новые версии также включают исправления ошибок, некоторые из которых, по данным GitLab, могут потребовать миграции баз данных. В случае одноузловых инсталляций патч вызовет простой во время обновления. Для многоузловых инсталляций администраторы, соблюдающие надлежащие процедуры обновления GitLab без простоя, могут применить патч без прерывания работы.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
