Το GitLab κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση μιας κρίσιμης ευπάθειας παράκαμψης ελέγχου ταυτότητας SAML που επηρεάζει τις αυτοδιαχειριζόμενες εγκαταστάσεις του GitLab Community Edition (CE) και Enterprise Edition (EE).
Η γλώσσα σήμανσης διεκδίκησης ασφαλείας (SAML) είναι ένα πρωτόκολλο ελέγχου ταυτότητας ενιαίας σύνδεσης (SSO) που επιτρέπει στους χρήστες να συνδέονται σε διαφορετικές υπηρεσίες χρησιμοποιώντας τα ίδια διαπιστευτήρια.
Το ελάττωμα, που παρακολουθείται ως CVE-2024-45409, προκύπτει από ένα ζήτημα στις βιβλιοθήκες OmniAuth-SAML και Ruby-SAML, τις οποίες χρησιμοποιεί το GitLab για να χειριστεί τον έλεγχο ταυτότητας που βασίζεται σε SAML.
Η ευπάθεια εμφανίζεται όταν η απόκριση SAML που αποστέλλεται από έναν πάροχο ταυτότητας (IdP) στο GitLab περιέχει εσφαλμένη διαμόρφωση ή γίνεται χειραγώγηση.
Συγκεκριμένα, το ελάττωμα περιλαμβάνει ανεπαρκή επικύρωση βασικών στοιχείων στους ισχυρισμούς SAML, όπως το extern_uid (εξωτερικό αναγνωριστικό χρήστη), το οποίο χρησιμοποιείται για τον μοναδικό προσδιορισμό ενός χρήστη σε διαφορετικά συστήματα.
Ένας εισβολέας μπορεί να δημιουργήσει μια κακόβουλη απόκριση SAML που εξαπατά το GitLab ώστε να τους αναγνωρίσει ως πιστοποιημένους χρήστες, παρακάμπτοντας τον έλεγχο ταυτότητας SAML και αποκτώντας πρόσβαση στην παρουσία του GitLab.
Το ελάττωμα CVE-2024-45409 επηρεάζει τα GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 και όλες τις προηγούμενες εκδόσεις αυτών των υποκαταστημάτων.
Το θέμα ευπάθειας αντιμετωπίζεται στις εκδόσεις 17.3.3, 17.2.7, 17.1.8, 17.0.8 και 16.11.10 του GitLab, όπου το OmniAuth SAML έχει αναβαθμιστεί στην έκδοση 2.2.1 και το Ruby-SAML σε 1.17.0.
“Συνιστούμε ανεπιφύλακτα όλες οι εγκαταστάσεις που εκτελούν μια έκδοση που επηρεάζεται από τα ζητήματα που περιγράφονται παρακάτω να αναβαθμιστούν στην πιο πρόσφατη έκδοση το συντομότερο δυνατό.” προειδοποιεί το GitLab στο ενημερωτικό δελτίο.
Δεν χρειάζεται να ληφθούν μέτρα για τους χρήστες των αποκλειστικών παρουσιών του GitLab στο GitLab.com, καθώς το ζήτημα επηρεάζει μόνο τις αυτοδιαχειριζόμενες εγκαταστάσεις.
Για όσους δεν μπορούν να κάνουν αναβάθμιση σε ασφαλή έκδοση αμέσως, το GitLab προτείνει την ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων (2FA) για όλους τους λογαριασμούς και τη ρύθμιση της επιλογής παράκαμψης SAML 2FA σε “δεν επιτρέπεται”.
Σημάδια εκμετάλλευσης
Αν και το GitLab δεν έχει δηλώσει ότι το ελάττωμα είχε χρησιμοποιηθεί στο παρελθόν, παρείχαν ενδείξεις απόπειρας ή επιτυχούς εκμετάλλευσης στο ενημερωτικό δελτίο, υποδηλώνοντας ότι κακόβουλοι φορείς μπορεί ήδη να εκμεταλλεύονται το ελάττωμα στις επιθέσεις.
Τα σημάδια απόπειρας ή επιτυχούς εκμετάλλευσης είναι:
- Σφάλματα που σχετίζονται με το RubySaml::ValidationError (ανεπιτυχείς προσπάθειες).
- Νέες ή ασυνήθιστες τιμές extern_uid στα αρχεία καταγραφής ελέγχου ταυτότητας (επιτυχείς προσπάθειες).
- Λείπουν ή λανθασμένες πληροφορίες στις απαντήσεις SAML.
- Πολλαπλές τιμές extern_uid για έναν μεμονωμένο χρήστη (υποδεικνύει πιθανή παραβίαση λογαριασμού).
- Έλεγχος ταυτότητας SAML από μια άγνωστη ή ύποπτη διεύθυνση IP σε σύγκριση με τα συνήθη μοτίβα πρόσβασης του χρήστη.
Η BleepingComputer επικοινώνησε χθες με το GitLab για να ρωτήσει εάν έχουν παρατηρήσει ή όχι ενεργή εκμετάλλευση του CVE-2024-45409 στη φύση, αλλά ακόμα περιμένουμε απάντηση.
VIA: bleepingcomputer.com