GitLab, Community Edition (CE) ve Enterprise Edition’ı (EE) etkileyen ve kimlik doğrulama atlamasına yol açabilecek kritik bir açığı gidermek için yamalar yayınladı.
Güvenlik açığı, bir saldırganın güvenlik açığı bulunan sistemde keyfi bir kullanıcı olarak oturum açmasına izin verebilecek ruby-saml kitaplığında (CVE-2024-45409, CVSS puanı: 10.0) kök salmıştır. Bu sorun geçen hafta bakımcılar tarafından giderildi.
Sorun, kütüphanenin SAML Yanıtının imzasını düzgün bir şekilde doğrulamamasından kaynaklanmaktadır. SAML, Güvenlik İddiası İşaretleme Dili’nin kısaltmasıdır ve birden fazla uygulama ve web sitesi arasında tek oturum açma (SSO) ve kimlik doğrulama ve yetkilendirme verilerinin değişimini sağlayan bir protokoldür.
“Kimlik Sağlayıcı tarafından imzalanmış herhangi bir SAML belgesine erişimi olan kimliği doğrulanmamış bir saldırgan, bir güvenlik uyarısına göre, keyfi içeriklere sahip bir SAML Yanıtı/İddiası oluşturabilir. “Bu, saldırganın savunmasız sistem içinde keyfi kullanıcı olarak oturum açmasına olanak tanır.”
Bu açığın, kendi güncellemesini (sürüm 2.2.1) yayınlayan ve ruby-saml’ı 1.17 sürümüne yükselten omniauth-saml’ı da etkilediğini belirtmekte fayda var.
GitLab’ın son yaması, omniauth-saml bağımlılıklarını 2.2.1 sürümüne ve ruby-saml bağımlılıklarını 1.17.0 sürümüne güncellemek için tasarlandı. Bu sürümler 17.3.3, 17.2.7, 17.1.8, 17.0.8 ve 16.11.10 sürümlerini içeriyor.
GitLab, hafifletici önlemler olarak, kendi kendine yönetilen kurulumların kullanıcılarını tüm hesaplar için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmeye ve SAML iki faktörlü baypas seçeneğine izin vermemeye çağırıyor.
GitLab, bu açığın yaygın olarak kullanıldığına dair hiçbir açıklama yapmasa da, bu açığın denendiğine veya başarılı olduğuna dair göstergeler sunarak, tehdit aktörlerinin bu açıklardan yararlanarak hassas GitLab örneklerine erişmeye çalıştığını öne sürüyor.
“Başarılı istismar girişimleri SAML ile ilgili günlük olaylarını tetikleyecektir,” dedi. “Başarılı bir istismar girişimi, istismar girişiminde bulunan saldırgan tarafından ayarlanan extern_id değerini günlüğe kaydedecektir.”
“Başarısız istismar girişimleri RubySaml kütüphanesinden bir ValidationError üretebilir. Bu, çalışan bir istismar oluşturmanın karmaşıklığıyla ilgili çeşitli nedenlerden dolayı olabilir.”
Gelişme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna beş güvenlik açığı eklemesinin ardından geldi. Bunlar arasında, yakın zamanda açıklanan ve aktif istismara dair kanıtlara dayanan Apache HugeGraph-Server’ı etkileyen kritik bir hata (CVE-2024-27348, CVSS puanı: 9,8) da yer alıyor.
Federal Sivil Yürütme Organı (FCEB) kurumlarına, ağlarını aktif tehditlere karşı korumak için tespit edilen güvenlik açıklarını 9 Ekim 2024 tarihine kadar gidermeleri önerildi.