GitLab tiene liberado Parches para solucionar una falla crítica que afecta a Community Edition (CE) y Enterprise Edition (EE) y que podría provocar una omisión de autenticación.
La vulnerabilidad se origina en la biblioteca Ruby-saml (CVE-2024-45409, puntuación CVSS: 10.0), que podría permitir a un atacante iniciar sesión como un usuario arbitrario dentro del sistema vulnerable. Los encargados del mantenimiento solucionaron el problema la semana pasada.
El problema es que la biblioteca no verifica correctamente la firma de la respuesta SAML. SAML, abreviatura de Security Assertion Markup Language, es un protocolo que permite el inicio de sesión único (SSO) y el intercambio de datos de autenticación y autorización entre varias aplicaciones y sitios web.
«Un atacante no autenticado con acceso a cualquier documento SAML firmado (por el IdP) puede así falsificar una Respuesta/Afirmación SAML con contenido arbitrario, de acuerdo con un Aviso de seguridad«Esto permitiría al atacante iniciar sesión como un usuario arbitrario dentro del sistema vulnerable».
Vale la pena señalar que la falla también afecta a omniauth-saml, que enviado una actualización propia (versión 2.2.1) para actualizar ruby-saml a la versión 1.17.
El último parche de GitLab está diseñado para actualizar las dependencias omniauth-saml a la versión 2.2.1 y ruby-saml a la 1.17.0. Esto incluye las versiones 17.3.3, 17.2.7, 17.1.8, 17.0.8 y 16.11.10.
Como mitigación, GitLab insta a los usuarios de instalaciones autoadministradas a habilitar la autenticación de dos factores (2FA) para todas las cuentas y prohibir la Omisión de dos factores de SAML opción.
GitLab no menciona que la falla esté siendo explotada en la naturaleza, pero ha proporcionado indicadores de intentos de explotación exitosos, lo que sugiere que los actores de amenazas pueden estar tratando activamente de capitalizar las deficiencias para obtener acceso a instancias susceptibles de GitLab.
«Los intentos de explotación exitosos activarán eventos de registro relacionados con SAML», afirmó. «Un intento de explotación exitoso registrará cualquier valor de extern_id que haya establecido el atacante que intenta explotar el código».
«Los intentos de explotación fallidos pueden generar un ValidationError de la biblioteca RubySaml. Esto podría deberse a una variedad de razones relacionadas con la complejidad de crear un exploit que funcione».
El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregado cinco fallos de seguridad en sus vulnerabilidades explotadas conocidas (KEV), incluido un error crítico recientemente revelado que afecta a Apache HugeGraph-Server (CVE-2024-27348, puntuación CVSS: 9,8), basado en evidencia de explotación activa.
Se ha recomendado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que remedien las vulnerabilidades identificadas antes del 9 de octubre de 2024, para proteger sus redes contra amenazas activas.