GitLab身份認證繞過漏洞 (CVE-2023-4998) 安全風險通告

Gitlab是目前被廣泛使用的基于git的開源代碼管理平臺, 基于Ruby on Rails構建, 主要針對軟件開發過程中產生的代碼和文檔進行管理，同時可以搭建Web服務。

本倉庫所涉及的技術、思路和工具僅供安全技術研究，任何人不得將其用于非授權滲透測試，不得將其用于非法用途和盈利，否則后果自行承擔。

IT之家1 月 16 日消息，GitLab 日前為社區版（CE）及企業版（EE）推出 16.7.2、16.6.4 及 16.5.6 安全更新，重點修復了 CVSS 風險評分達到 10 分的密碼重置漏洞 CVE-2023-7028。

必修漏洞，就是必須修復、不可拖延的高危漏洞。

早在2015年，Google project zero就發布了關于DCOM DCE/RPC本地NTLM Relay的研究，其中提到了使用COM對象及OLE Packager并舉了個例子實現任意文件寫入。

本報告通過六張實戰推演圖，結合安全能力者、第三方機構和安全運營者的觀點，展示了攻擊方從攻擊面分析、邊界突破、橫向滲透到靶標攻陷的攻擊過程，防守方從基礎保護、強化保護到協同保護的縱深防御體系，描繪了大型網絡安全攻防實戰演習的全景對象和步驟推演。

2022年1月，國務院印發《“十四五”數字經濟發展規劃》（以下簡稱“規劃”），明確了“十四五”時期推動數字經濟健康發展的指導思想、基本原則、發展目標、重點任務和保障措施。規劃指出，數字經濟是繼農業經濟、工業經濟之后的主要經濟形態，是以數據資源為關鍵要素，以現代信息網絡為主要載體，以信息通信技術融合應用、全要素數字化轉型為重要推動力，促進公平與效率更加統一的新經濟形態。

當前，以數字經濟為代表的新經濟成為經濟增長新引擎，數據作為核心生產要素成為了基礎戰略資源，數據安全的基礎保障作用也日益凸顯。伴隨而來的數據安全風險與日俱增，數據泄露、數據濫用等安全事件頻發，為個人隱私、企業商業秘密、國家重要數據等帶來了嚴重的安全隱患。近年來，國家對數據安全與個人信息保護進行了前瞻性戰略部署，開展了系統性的頂層設計。《中華人民共和國數據安全法》于2021年9月1日正式施行，《中華人

微軟方面目前，微軟已經確認他們的一名員工受到了Lapsus$黑客組織的入侵，使得威脅參與者可以訪問和竊取他們的部分源代碼。威脅參與者將收集有價值的數據并通過NordVPN連接將其泄露以隱藏其位置，同時對受害者的基礎設施進行破壞性攻擊以觸發事件響應程序。目前，該公司在停職了受感染用戶的活動會話并暫停其帳戶的同時將該問題通知了提供商。

在過去的幾個月里，Lapsus$針對三星、英偉達、沃達豐、育碧和美客多等許多大公司發起了網絡攻擊。近日，Lapsus$又通過其Telegram發布截圖，聲稱入侵了微軟的Azure DevOps服務器，獲取了包含Bing、Cortana和其他各種內部項目的源代碼，此外，還入侵了身份識別與訪問管理(IAM)解決方案的領先提供商Okta，獲取了訪問Okta的管理控制臺和客戶數據的權限。