GitLab a libéré correctifs pour corriger une faille critique affectant Community Edition (CE) et Enterprise Edition (EE) qui pourrait entraîner un contournement de l’authentification.
La vulnérabilité est liée à la bibliothèque ruby-saml (CVE-2024-45409, score CVSS : 10,0), ce qui pourrait permettre à un attaquant de se connecter en tant qu’utilisateur arbitraire au sein du système vulnérable. Elle a été corrigée par les responsables la semaine dernière.
Le problème est dû au fait que la bibliothèque ne vérifie pas correctement la signature de la réponse SAML. SAML, abréviation de Security Assertion Markup Language, est un protocole qui permet l’authentification unique (SSO) et l’échange de données d’authentification et d’autorisation entre plusieurs applications et sites Web.
« Un attaquant non authentifié ayant accès à n’importe quel document SAML signé (par l’IdP) peut ainsi forger une réponse/assertion SAML avec un contenu arbitraire, selon un avis de sécurité« Cela permettrait à l’attaquant de se connecter en tant qu’utilisateur arbitraire au sein du système vulnérable. »
Il convient de noter que la faille affecte également omniauth-saml, qui expédié une mise à jour propre (version 2.2.1) pour mettre à niveau ruby-saml vers la version 1.17.
Le dernier patch de GitLab est conçu pour mettre à jour les dépendances omniauth-saml vers la version 2.2.1 et ruby-saml vers la version 1.17.0. Cela inclut les versions 17.3.3, 17.2.7, 17.1.8, 17.0.8 et 16.11.10.
En guise d’atténuation, GitLab exhorte les utilisateurs d’installations autogérées à activer l’authentification à deux facteurs (2FA) pour tous les comptes et à interdire l’authentification à deux facteurs (2FA). Contournement à deux facteurs SAML option.
GitLab ne fait aucune mention de l’exploitation de la faille dans la nature, mais il a fourni des indicateurs d’exploitation tentée ou réussie, suggérant que les acteurs de la menace tentent peut-être activement de capitaliser sur les lacunes pour accéder aux instances GitLab sensibles.
« Les tentatives d’exploitation réussies déclencheront des événements de journal liés à SAML », a-t-il déclaré. « Une tentative d’exploitation réussie enregistrera la valeur extern_id définie par l’attaquant tentant l’exploitation. »
« Les tentatives d’exploitation infructueuses peuvent générer une erreur de validation (ValidationError) à partir de la bibliothèque RubySaml. Cela peut être dû à diverses raisons liées à la complexité de la création d’un exploit fonctionnel. »
Cette évolution intervient alors que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ajouté cinq failles de sécurité dans ses vulnérabilités connues exploitées (KEV) catalogue, y compris un bug critique récemment divulgué affectant Apache HugeGraph-Server (CVE-2024-27348, score CVSS : 9,8), basé sur des preuves d’exploitation active.
Il a été recommandé aux agences du Federal Civilian Executive Branch (FCEB) de remédier aux vulnérabilités identifiées d’ici le 9 octobre 2024, afin de protéger leurs réseaux contre les menaces actives.