GitLab’da var piyasaya sürülmüş Community Edition (CE) ve Enterprise Edition’ı (EE) etkileyen ve kimlik doğrulama atlamasına yol açabilecek kritik bir hatayı gidermek için yamalar.
Güvenlik açığı, bir saldırganın güvenlik açığı bulunan sistemde keyfi bir kullanıcı olarak oturum açmasına izin verebilecek ruby-saml kitaplığında (CVE-2024-45409, CVSS puanı: 10.0) kök salmıştır. Geçtiğimiz hafta bakımcılar tarafından giderilmiştir.
Sorun, kütüphanenin SAML Yanıtının imzasını düzgün bir şekilde doğrulamamasından kaynaklanmaktadır. SAML, Güvenlik İddiası İşaretleme Dili’nin kısaltmasıdır ve birden fazla uygulama ve web sitesi arasında tek oturum açma (SSO) ve kimlik doğrulama ve yetkilendirme verilerinin değişimini sağlayan bir protokoldür.
“Kimlik Sağlayıcı tarafından imzalanmış herhangi bir SAML belgesine erişimi olan kimliği doğrulanmamış bir saldırgan, keyfi içeriklere sahip bir SAML Yanıtı/İddiası oluşturabilir, buna göre güvenlik uyarısı“Bu, saldırganın güvenlik açığı bulunan sistem içinde keyfi bir kullanıcı olarak oturum açmasına olanak tanır.”
Bu kusurun omniauth-saml’ı da etkilediğini belirtmekte fayda var. sevk edildi ruby-saml’ı 1.17 sürümüne yükseltmek için kendi güncellemesi (sürüm 2.2.1).
GitLab’ın son yaması, omniauth-saml bağımlılıklarını 2.2.1 sürümüne ve ruby-saml bağımlılıklarını 1.17.0 sürümüne güncellemek için tasarlandı. Bu sürümler 17.3.3, 17.2.7, 17.1.8, 17.0.8 ve 16.11.10 sürümlerini içeriyor.
GidLab, hafifletme önlemleri olarak, kendi kendine yönetilen kurulumların kullanıcılarını tüm hesaplar için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmeye ve SAML iki faktörlü baypas seçenek.
GitLab, bu açığın yaygın olarak kullanıldığına dair hiçbir açıklama yapmasa da, bu açığın denendiğine veya başarılı olduğuna dair göstergeler sunarak, tehdit aktörlerinin bu açıklardan yararlanarak hassas GitLab örneklerine erişmeye çalıştığını öne sürüyor.
“Başarılı istismar girişimleri SAML ile ilgili günlük olaylarını tetikleyecektir,” dedi. “Başarılı bir istismar girişimi, istismar girişiminde bulunan saldırgan tarafından ayarlanan extern_id değerini günlüğe kaydedecektir.”
“Başarısız istismar girişimleri RubySaml kütüphanesinden bir ValidationError üretebilir. Bu, çalışan bir istismar oluşturmanın karmaşıklığıyla ilgili çeşitli nedenlerden dolayı olabilir.”
Gelişme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) eklendi Bilinen İstismar Edilen Güvenlik Açıklarına (beş güvenlik açığı)KEV) kataloğu, yakın zamanda açıklanan ve Apache HugeGraph-Server’ı etkileyen kritik bir hata (CVE-2024-27348, CVSS puanı: 9,8) dahil olmak üzere, aktif sömürüye dair kanıtlara dayanmaktadır.
Federal Sivil Yürütme Organı (FCEB) kurumlarına, ağlarını aktif tehditlere karşı korumak için tespit edilen güvenlik açıklarını 9 Ekim 2024 tarihine kadar gidermeleri önerildi.