O GitLab lançou patches para resolver um problema importante que afeta o Community Edition (CE) e o Enterprise Edition (EE) que pode levar ao desvio da autorização.
A vulnerabilidade é baseada na biblioteca ruby-saml (CVE-2024-45409, pontuação CVSS: 10.0), que pode permitir que um invasor faça login como um usuário não autorizado no sistema vulnerável. Foi mencionado pelos curadores na semana passada.
O problema é porque a biblioteca não valida adequadamente a assinatura da resposta SAML. SAML, abreviação de Security Assurance Markup Language, é um protocolo que permite logon único (SSO) e a troca de dados de autenticação e autorização entre vários aplicativos e sites.
“Um invasor não autorizado que tenha acesso a qualquer documento SAML assinado (por meio de um IdP) pode, portanto, executar uma resposta/afirmação SAML com conteúdo arbitrário, de acordo com os conselhos de segurança. “Isso permitirá que um invasor faça login como um usuário arbitrário dentro de um ambiente vulnerável. sistema. .”
Vale ressaltar que o bug também afeta o omniauth-saml, que enviou sua própria atualização (versão 2.2.1) para atualizar o ruby-saml para a versão 1.17.
O patch mais recente do GitLab foi projetado para atualizar a dependência omniauth-saml para a versão 2.2.1 e ruby-saml para 1.17.0. Isso inclui as versões 17.3.3, 17.2.7, 17.1.8, 17.0.8 e 16.11.10.
Como mitigação, o GitLab incentiva os usuários de instalações gerenciadas a habilitar a autenticação de dois fatores (2FA) para todas as contas e a proibir a opção de autenticação de dois fatores SAML.
O GitLab não disse nada sobre a falha sendo explorada em estado selvagem, mas forneceu pistas sobre tentativas de exploração ou explorações bem-sucedidas, sugerindo que atores mal-intencionados podem tentar interagir com as falhas para obter acesso a ambientes vulneráveis do GitLab.
“Tentativas de exploração bem-sucedidas abrirão eventos de log relacionados ao SAML”, disse ele. “Uma tentativa de exploração bem-sucedida registrará qualquer valor extern_id definido pelo invasor que está tentando explorar.”
“Tentativas de exploração malsucedidas podem gerar um ValidationError da biblioteca RubySaml. Isso pode ser devido a vários motivos relacionados à complexidade de execução da exploração.”
O desenvolvimento ocorre no momento em que a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA adiciona cinco falhas de segurança ao seu catálogo, conhecidas como Vulnerabilidades Exploradas Conhecidas (KEV), incluindo um bug crítico recentemente divulgado que afeta o Apache HugeGraph-Server (CVE-2024 -27348, pontuação CVSS : 9.8) ), com base em evidências de exploração ativa.
Recomenda-se que as agências do Poder Executivo Civil Federal (FCEB) resolvam as vulnerabilidades identificadas até 9 de outubro de 2024, para proteger suas redes contra ameaças ativas.
