未修補GitLab重大漏洞且暴露在網際網路的伺服器，目前還有兩千多臺

今年1月11日，軟體開發平臺GitLab揭露與修補CVSS滿分10分的重大漏洞CVE-2023-7028，由於能在無需與使用者互動的狀態下，將重設密碼的電子郵件寄送至任何信箱，可能導致用戶帳號因此遭到非法接管，而且受到影響的版本不少，涵蓋GitLab社群版與企業版的16.1版至16.7.1版，引發軒然大波，當時該公司表示尚未偵測到任何濫用此漏洞的活動，但是，到了月底，Shadowserver基金會警告，根據他們的偵測，未修補這個漏洞且能透過網際網路存取的GitLab伺服器，數量高達5,379臺（臺灣有52臺）。

Running GitLab? We are sharing instances vulnerable to CVE-2023-7028 (Account Takeover via Password Reset without user interactions) - 5379 instances found worldwide (on 2024-01-23). Top: US (964) & Germany (730)

Check for signs of compromise and patch: https://t.co/XqIbXO5GBp pic.twitter.com/6f3v9oHaOG

— The Shadowserver Foundation (@Shadowserver) January 24, 2024

相隔3個多月之後（5月1日），美國網際安全暨基礎設施安全局（CISA）宣布將此漏洞加入已知遭濫用漏洞（KEV）型錄，並表示它成為惡意網路活動的常見攻擊手法，將對政府與企業造成嚴重風險，因此，CISA要求聯邦政府各單位需在5月22日之前，完成內部弱點管理的審視與更新作業。

根據Shadowserver基金會的偵測，全球暴露在此漏洞風險且位於網際網路的伺服器數量，已下降至2,149臺（臺灣有11臺）。

熱門新聞