Amerika Birleşik Devletleri’nde SAML çoklu oturum açma (SSO) kimlik doğrulamasını kullanan binlerce GitHub Kurumsal Sunucu (GHES) örneği, artık açık internette kavram kanıtından yararlanılabilen kritik bir güvenlik açığı nedeniyle yüksek risk altındadır.
Yazılım geliştirme için kendi kendine barındırılan bir platform olan GitHub Enterprise Server, bağımsız bir sanal cihaz görevi görür. Git sürüm kontrolünü, güçlü API’leri, üretkenlik ve işbirliği araçlarını ve entegrasyonları kullanarak yazılım oluşturmaya ve göndermeye yardımcı olur. GHES’in mevzuat uyumluluğuna tabi olan kuruluşlarda kullanılması tavsiye edilir; bu, genel buluttaki yazılım geliştirme platformlarından kaynaklanan sorunların önlenmesine yardımcı olur.
GitHub, GitHub Enterprise Server’da bir saldırganın kimlik doğrulama korumalarını atlamasına izin verebilecek maksimum önem derecesine sahip bir güvenlik açığını gidermek için Pazartesi günü düzeltmeler yayınladı.
CVE-2024-4985 olarak takip edilen kritik kusur, saldırganların önceden kimlik doğrulama gerektirmeden hedeflenen örneğe yetkisiz erişim sağlamasından dolayı CVSS ölçeğinde mümkün olan maksimum önem derecesine sahiptir.
GitHub, “SAML tek oturum açma (SSO) kimlik doğrulamasını isteğe bağlı şifrelenmiş onaylama özelliğiyle birlikte kullanan örneklerde, bir saldırgan, yönetici ayrıcalıklarına sahip bir kullanıcıya erişim sağlamak ve/veya erişim sağlamak için bir SAML yanıtı oluşturabilir” dedi.
GitHub, şifrelenmiş iddiaların varsayılan olarak etkin olmadığını söyledi. Ayrıca, “SAML SSO kullanmayan veya şifrelenmiş iddialar olmadan SAML SSO kimlik doğrulamasını kullanmayan örnekler etkilenmez” diye ekledi.
Şifrelenmiş onaylamalar, bir SAML kimlik sağlayıcısının (IdP) gönderdiği mesajları şifreleyerek GHES örneğinin SAML SSO ile güvenliğini artırır.
GitHub, kritik güvenlik açığının GHES’in 3.13.0’dan önceki tüm sürümlerini etkilediğini belirtti. 3.9.15, 3.10.12, 3.11.10 ve 3.12.4 sürümlerinde düzeltilmiştir.
Ancak en son yamaya yükseltme yapan kullanıcılar bazı sorunlarla karşılaşabilir. Bu güncellenmiş sürümle ilgili bilinen sorunlar şunlardır:
- Yükseltme işlemi sırasında özel güvenlik duvarı kuralları kaldırılır.
- Bir konfigürasyon çalıştırmasının doğrulama aşamasında Notebook ve Viewscreen servislerinde “Böyle bir nesne yok” hatası oluşabilir. Hizmetlerin hala doğru şekilde başlaması gerektiğinden bu hata göz ardı edilebilir.
- Başarısız oturum açma denemelerinin ardından kök site yöneticisinin Yönetim Konsolu’na erişimi kilitlenirse, tanımlanan kilitleme süresinden sonra hesabın kilidi otomatik olarak açılmaz. Örneğe idari SSH erişimi olan birinin, yönetici kabuğunu kullanarak hesabın kilidini açması gerekir.
- Bir örnek, günlükleri TLS etkinleştirilmiş bir hedef sunucuya iletecek şekilde yapılandırılmışsa, site yöneticisinin kullanarak yüklediği sertifika yetkilisi (CA) paketleri ghe-ssl-ca-sertifika kurulumu dikkate alınmaz ve sunucuya olan bağlantılar başarısız olur.
- bağlama: İşleme izin verilmiyor hatası /var/log/mysql/mysql.err dosya göz ardı edilebilir. MySQL 8, CAP_SYS_NICE yetenek gerekli değildir ve uyarı yerine hata verir.
- AWS’de barındırılan bir bulut sunucusunda, yönetici bulut sunucusunu yeniden başlattıktan sonra sistem zamanı Amazon sunucularıyla senkronizasyonunu kaybedebilir.
- Yük dengeleyicinin arkasında kullanılmak üzere yapılandırılmış HTTP X-Forwarded-For üstbilgisine sahip bir örnekte, örneğin denetim günlüğündeki tüm istemci IP adresleri yanlışlıkla 127.0.0.1 olarak görünüyor.
- Bazı durumlarda büyük .adoc bir depoda saklanan dosyalar web kullanıcı arayüzünde düzgün şekilde oluşturulmuyor. Ham içerikler hala düz metin olarak görüntülenebilir.
- Küme yapılandırmasındaki bir örnekte, bir yedeğin geri yüklenmesi ghe-restore Redis düzgün şekilde yeniden başlatılmazsa zamanından önce çıkılacaktır.
- GitHub Eylemleri’nin etkin olduğu bir örnekte GitHub Pages sitelerini dağıtan Eylemler iş akışları başarısız olabilir.
- Orijinal olarak kullanılarak içe aktarılan depolar ghe-göçmen Gelişmiş Güvenlik katkılarını doğru şekilde izlemeyecektir.
PoC Halka Açılırken Binlerce Kişi Risk Altında
Saldırı yüzeyi yönetimi ve tehdit istihbaratı için Cyble’ın İnternet arama motoru olan ODIN, internete açık yaklaşık 3.000 Github Enterprise Server örneğinin CVE-2024-4985’e karşı savunmasız olduğunu tespit etti.
Bunlardan en fazla sayıda (2,09 bin) şu anda yama yapılmamış ve istismar edilme riski taşıyan örnekler ABD’den geliyor ve onu 331 savunmasız örnekle İrlanda takip ediyor.
ODIN’in müşterileri şu sorguyu kullanabilir: services.modules.http.title:”Github Enterprise” Güvenlik açığı bulunan örnekleri izlemek için.
Bu maksimum önem derecesine sahip hatanın acil olarak yamalanması gerekiyor çünkü kavram kanıtı artık GitHub’da mevcut. GitHub kullanıcısı, PoC istismarına ilişkin adım adım bir rehberlik sunarak, yaygın bir istismarın henüz gerçekleşmemiş olsa bile yakın zamanda beklenebileceğini belirtti.
Medya Yasal Uyarısı: Bu makale, çeşitli yollarla elde edilen dahili ve harici araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.