데브옵스 플랫폼 깃랩, CE·EE 일부에서 취약점 5개...버그바운티와 사내 연구 통해 발견
깃랩은 IT 기업의 중요 자산인 소스 코드 저장소...신속한 보안 업데이트 권장

[보안뉴스 박은주 기자] 최근 데브옵스 플랫폼 GitLab(깃랩)은 HackerOne(해커원)과 진행한 버그바운티와 사내 연구를 통해 커뮤니티 에디션(CE)과 엔터프라이즈 에디션(EE) 일부 버전에서 초고위험도 취약점을 비롯해 총 5개 취약점을 찾았다. 깃랩은 해당 취약점 패치를 발표하고, 신속한 업데이트를 권고했다.


가장 위험도가 높은 취약점은 ‘CVE-2023-7028’로 CVSS 점수가 만점(10점)에 달한다. 이 취약점을 악용하면 계정 비밀번호를 재설정할 때, 공격자가 원하는 이메일로 비밀번호 변경 메일을 받아볼 수 있다. 사용자 허가 없이 비밀번호를 재설정해 계정을 탈취할 수 있어 각별한 주의가 요구된다.

또 다른 취약점은 CVSS 7.3점으로 위험 등급에 속하는 ‘CVE-2023-5356’이다. 해당 취약점은 Slack·Mattermost 통합을 악용해 다른 사용자로 가장한 뒤 슬래시 명령을 실행할 수 있는 결함이 있다.

이 밖에도 △코드 소유자 승인을 우회하는 ‘CVE-2023-4812’ 취약점(CVSS 7.6) △원격 개발 환경에서 부적절하게 접근 제어하는 ‘CVE-2023-6955’ 취약점(CVSS 6.6) △서명된 커밋의 메타데이터를 수정할 수 있는 ‘CVE-2023-2030’ 취약점(CVSS 3.5)이 발견됐다.


이에 깃랩은 취약점을 패치하고 결함을 해결한 보안 업데이트를 발표했다. 영향받는 제품과 해결 버전은 위 표와 같다.

티오리 강우원 연구원은 “깃랩은 IT 기업의 중요 자산 중 하나인 소스코드가 저장되는 곳”이라고 설명하며 “최악의 경우 취약점 익스플로잇을 통해 소스코드가 유출될 위험이 있고, 해당 코드를 악용해 2, 3차 공격이 이어질 수 있다”고 우려를 표했다. 그는 “패치된 최신 버전으로 신속히 업데이트해야 한다”고 당부했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>