開源程式碼平臺GitLab被資安公司Penultimate揭露,因為處理網域認證程序不夠嚴謹,導致駭客可以輕易綁架GitLab的網域,2月21日GitLab於官網公告,此漏洞已經修補完畢。

在2月1日Penultimate創辦人Edwin Foudil揭露了這項漏洞,並且以概念性驗證證明,上百個網域在數秒中就能被劫持,可讓駭客做社交工程攻擊之用。GitLab也隨即在2月5日於官網公布了這個問題,當使用者新增自定義網域時,由於GitLab不做進一步的驗證,因此也無法確認網域是否真由使用者所有。

駭客能從DNS紀錄中,發現已經指向GitLab的IP位置,但尚未被宣告的網域並加以劫持。Edwin Foudil表示,駭客可用暫時的E-mail建立一個假的GitLab帳號,並且以這個E-mail提交程式碼,並新增竊占來的網域到程式碼儲存庫中,駭客可以用看起來很正常的網域名稱做釣魚攻擊。

GitLab在2月5日關閉了新增客製化網域的功能,並於2月21日重新啟用。GitLab在官網公告,現在使用者新增自定義網域,需要以含有Token的DNS文件驗證網域的所有權,這個步驟確保網域設定皆由所有人操作,而GitLab也會定期的重新驗證自定義網域的所有權。由於新增了驗證機制,更新DNS紀錄將會需要24到48小時的傳播時間。


Advertisement

更多 iThome相關內容