GitLab, platformunu kullanan kuruluşlara kritik bir kimlik doğrulama atlama güvenlik açığını kapatmaları için acil bir harekete geçme çağrısı yaptı.
Bu güvenlik açığı, CVE-2024-45409, SAML tabanlı kimlik doğrulamasıyla yapılandırılmış örnekleri etkiler. Güvenlik açığı, hassas verilere yetkisiz erişime izin verebilir.
GitLab, bu sorunu çözmek için yeni Community Edition (CE) ve Enterprise Edition (EE) sürümlerini yayınladı ve acil güncellemeler yapılmasını istedi.
GitLab bugün CE ve EE için 17.3.3, 17.2.7, 17.1.8, 17.0.8 ve 16.11.10 sürümlerini yayınladı. Bu güncellemeler, belirlenen güvenlik açığıyla ilişkili riskleri azaltmak için önemli hata düzeltmeleri ve güvenlik yamaları içeriyor.
GitLab.com bu yamalarla zaten güncellendi ve tüm GitLab Dedicated örnekleri otomatik olarak yükseltildi; müşterilerden herhangi bir işlem yapılmasına gerek kalmadı.
Güvenlik Açığını Anlamak: CVE-2024-45409
Kritik güvenlik açığı, SAML (Güvenlik İddiası İşaretleme Dili) aracılığıyla bir kimlik doğrulama atlamasını içerir. Saldırganlar, SAML tabanlı kimlik doğrulamasıyla yapılandırılmış GitLab örneklerine yetkisiz erişim elde etmek için bu açığı kullanabilir.
Bu sorunu hafifletmek için GitLab, omniauth-saml bağımlılıklarını 2.2.1 sürümüne ve ruby-saml bağımlılıklarını 1.17.0 sürümüne güncelledi.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Bu güncellemeler güvenlik açığını gideriyor ve CVE-2024-45409 güvenlik açığının potansiyel olarak kötüye kullanılmasını engelliyor.
GitLab, bu güvenlik açığına karşı korunmak için tüm kendi kendine yönetilen kurulumların derhal en son sürümlere yükseltilmesini şiddetle önermektedir.
Şirket, belirli bir dağıtım türü belirtilmediğinde (omnibus, kaynak kodu, helm chart gibi) tüm türlerin etkilendiğini vurguluyor.
Kendi Kendine Yönetilen GitLab: Bilinen Azaltma Yöntemleri
Kendi kendine yönetilen GitLab kurulumları için, belirli hafifletmeler başarılı bir şekilde sömürülmesini önlemeye yardımcı olabilir:
- İki Faktörlü Kimlik Doğrulamayı (2FA) Etkinleştirin: GitLab’ın kendi kendine yönetilen örneklerdeki tüm kullanıcı hesapları için iki faktörlü kimlik doğrulamasının etkinleştirilmesi önerilir.
- SAML İki Faktörlü Baypası Devre Dışı Bırak: GitLab ayarlarında SAML iki faktörlü baypas seçeneğinin izin verilmediğinden emin olun.
İstismar Girişimlerini Tanımlama ve Tespit Etme
GitLab, Ruby-SAML güvenlik açığının potansiyel istismar girişimlerinin belirlenmesi ve tespit edilmesi konusunda rehberlik sağlıyor.
Başarısız Saldırı Girişimleri
Başarısız girişimler, application_json günlük dosyalarında tespit edilebilen RubySaml kitaplığından bir ValidationError üretebilir. Yaygın hatalar arasında yanlış geri arama URL’leri veya sertifika imzalama sorunları bulunur.
Örnek Günlük Olayları:
- Yanlış Geri Arama URL’si nedeniyle Geçersiz Bilet
{"severity":"ERROR","time":"2024-xx-xx","correlation_id":"xx","message":"(saml) Authentication failure! invalid_ticket: OneLogin::RubySaml::ValidationError, The response was received at https://domain.com/users/auth/saml/incorrect_callback instead of https://domain.com/users/auth/saml/callback"}
- Sertifika İmzalama Sorunu nedeniyle Geçersiz Bilet
"message":"(saml) Authentication failure! invalid_ticket: OneLogin::RubySaml::ValidationError, Fingerprint mismatch"
Başarılı Sömürü Girişimleri
Başarılı bir istismar, meşru kimlik doğrulama olaylarından farklı olan belirli SAML ile ilgili günlük olaylarını tetikleyecektir. Bir saldırganın benzersiz extern_id’si olası istismarı gösterebilir.
Örnek Exploit Kimlik Doğrulama Olayı:
{"severity":"INFO","time":"2024-xx-xx","correlation_id":"xx","meta.caller_id":"OmniauthCallbacksController#saml","meta.remote_ip":"0.0.0.0","meta.feature_category":"system_access","meta.client_id":"ip/0.0.0.0","message":"(SAML) saving user [email protected] from login with admin =\\u003e false, extern_uid =\\u003e exploit-test-user"}
Günlükleri bir SIEM’e (Güvenlik Bilgi ve Olay Yönetimi) ileten kendi kendini yöneten müşteriler için, GitLab tarafından Sigma formatında paylaşılan tehdit algılama kurallarını kullanarak Ruby-SAML istismar girişimlerine yönelik algılamalar oluşturmak mümkündür.
GitLab’ın bu kritik güvenlik açığını gidermeye yönelik proaktif yaklaşımı, kullanıcıları için yüksek güvenlik standartlarını sürdürme konusundaki kararlılığının bir göstergesidir.
Kuruluşların, CVE-2024-45409’un oluşturduğu potansiyel tehditlere karşı sürekli koruma sağlamak amacıyla sistemlerini güncelleme konusunda hızlı davranmaları önemle rica olunur.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial