Underc0de - La Casa de los Informáticos

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una nueva alerta de alto impacto tras confirmar la explotación activa de una vulnerabilidad crítica en GitLab, a pesar de que el fallo fue corregido originalmente hace más de cinco años. La decisión pone de relieve una realidad persistente en ciberseguridad: las vulnerabilidades antiguas siguen siendo un vector de ataque altamente efectivo cuando no se aplican parches de forma consistente.

La vulnerabilidad en cuestión, identificada como CVE-2021-39935, corresponde a un fallo de Server-Side Request Forgery (SSRF) que afecta a GitLab Community Edition (CE) y Enterprise Edition (EE). Aunque GitLab publicó un parche en diciembre de 2021, CISA ha confirmado que el defecto está siendo explotado activamente en ataques reales, lo que ha motivado su inclusión en el Catálogo de Vulnerabilidades Conocidas Explotadas (KEV).

¿Qué es CVE-2021-39935 y por qué es peligrosa?

CVE-2021-39935 permite a usuarios externos no autenticados y sin privilegios realizar solicitudes del lado del servidor a través de la API CI Lint, una funcionalidad diseñada para validar configuraciones de pipelines CI/CD y simular flujos de integración continua.

GitLab explicó en su aviso original que, cuando el registro de usuarios está restringido, los usuarios externos no desarrolladores no deberían tener acceso a esta API. Sin embargo, el fallo permitía eludir esta limitación, abriendo la puerta a ataques SSRF que pueden utilizarse para:

• Acceder a recursos internos no expuestos públicamente
• Interactuar con servicios internos de la infraestructura
• Obtener metadatos sensibles en entornos cloud
• Facilitar movimientos laterales dentro de la red
• Preparar ataques más complejos contra pipelines CI/CD

Este tipo de vulnerabilidad resulta especialmente crítica en plataformas DevSecOps como GitLab, donde los sistemas CI/CD suelen tener acceso privilegiado a repositorios, secretos, tokens y entornos de producción.

Versiones afectadas de GitLab

Según GitLab, el problema afecta a un amplio rango de versiones, incluyendo:

• Todas las versiones desde la 10.5 hasta antes de la 14.3.6
• Todas las versiones desde la 14.4 hasta antes de la 14.4.4
• Todas las versiones desde la 14.5 hasta antes de la 14.5.2

Las organizaciones que aún ejecuten estas versiones —especialmente instancias autoalojadas expuestas a Internet— se encuentran en riesgo inmediato de compromiso.

CISA impone plazos obligatorios bajo la BOD 22-01

El martes, CISA ordenó a las agencias del Federal Civilian Executive Branch (FCEB) aplicar los parches correspondientes antes del 24 de febrero de 2026, otorgando un plazo máximo de tres semanas, conforme a la Directiva Operativa Vinculante BOD 22-01.

Esta directiva obliga a las agencias federales a:

• Identificar sistemas vulnerables
• Aplicar mitigaciones según el proveedor
• Seguir las guías específicas para servicios en la nube
• Suspender el uso del producto si no existen mitigaciones disponibles

Aunque la BOD 22-01 se aplica exclusivamente a organismos federales, CISA ha instado explícitamente a todas las organizaciones del sector privado a actuar de inmediato, dada la explotación activa de la vulnerabilidad.

Citar"Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y suponen riesgos significativos para la empresa federal", advirtió CISA.

La superficie de ataque: decenas de miles de GitLab expuestos

El riesgo se ve amplificado por la gran cantidad de instancias de GitLab accesibles desde Internet. Según datos de Shodan, actualmente existen más de 49.000 dispositivos con huella digital de GitLab expuestos públicamente, la mayoría ubicados en China. De estos, casi 27.000 utilizan el puerto HTTPS predeterminado 443, lo que los convierte en objetivos evidentes para escaneos automatizados y ataques oportunistas.

Esta exposición masiva facilita la explotación de vulnerabilidades conocidas, especialmente aquellas que no requieren autenticación, como CVE-2021-39935.

GitLab: un objetivo de alto valor estratégico

GitLab no es una plataforma marginal. La compañía afirma que su ecosistema DevSecOps cuenta con más de 30 millones de usuarios registrados y es utilizado por más del 50 % de las organizaciones Fortune 100. Entre sus clientes se incluyen empresas de alto perfil como Nvidia, Airbus, Goldman Sachs, T-Mobile y Lockheed Martin.

Este nivel de adopción convierte a GitLab en un objetivo prioritario para actores de amenazas avanzados, incluyendo grupos APT, ciberdelincuentes y operadores de ransomware interesados en comprometer cadenas de suministro de software.

Un patrón preocupante: más vulnerabilidades explotadas activamente

El mismo día del aviso sobre GitLab, CISA también añadió al catálogo KEV una vulnerabilidad crítica en SolarWinds Web Help Desk, ordenando a las agencias gubernamentales parchear los sistemas afectados en un plazo de solo tres días.

Este patrón refuerza una tendencia clara: los atacantes están priorizando vulnerabilidades conocidas, antiguas y mal gestionadas, conscientes de que muchas organizaciones aún no aplican parches de forma adecuada.

Recomendaciones de seguridad clave

Para mitigar el riesgo asociado a CVE-2021-39935, las organizaciones deben:

• Actualizar inmediatamente GitLab a una versión parcheada
• Restringir el acceso a instancias GitLab expuestas a Internet
• Revisar configuraciones de la API CI Lint
• Monitorizar logs en busca de patrones SSRF
• Aplicar segmentación de red para proteger servicios internos
• Integrar la gestión de vulnerabilidades en los procesos DevSecOps

Fuente: https://www.bleepingcomputer.com/