SAML tabanlı kimlik doğrulaması için yapılandırılmış, kendi kendine barındırılan GitLab örneklerine sahip kuruluşlar, şirketin bu hafta yayınladığı DevOps platformunun yeni sürümlerine hemen güncelleme yapmak isteyebilirler.
Güncelleme, bir saldırganın kimlik doğrulama kontrollerini atlatmasına ve etkilenen bir sistemde keyfi bir kullanıcı olarak oturum açmasına izin veren GitLab Community Edition (CE) ve Enterprise Edition’daki (EE) maksimum öneme sahip bir hatayı giderir. Erişim düzeyine bağlı olarak, bir saldırgan daha sonra sızıntıyı çalabilir veya kaynak kodunu değiştirebilir, üretim sistemlerine kötü amaçlı kod enjekte edebilir, sırları ve hassas verileri çalabilir ve çeşitli diğer kötü niyetli eylemler.
Maksimum Şiddet Tehdidi
Hata, şu şekilde tanımlandı: CVE-2024-45409, CVSS derecelendirme ölçeğinde en kritik olan 10.0’lık bir önem puanına sahiptir. Hata, yüksek etkisi ve ayrıca istismarının düşük saldırı karmaşıklığı, özel ayrıcalıklar ve kullanıcı etkileşimi gerektirmemesi nedeniyle bu derecelendirmeyi almıştır.
CVE-2024-45409, hem GitLab Dedicated’ı, tam olarak yönetilen bulutta barındırılan sürümü hem de GitLab’ın kendi kendine yönetilen örneklerini etkiler. Şirket, GitLab Dedicated’ın tüm örneklerini zaten güncelledi ve yönetilen sürümün müşterilerinin zaten bu güvenlik açığına karşı korunduğunu söylüyor. Ancak, kendi kendine yönetilen GitLab kurulumlarını çalıştıranlar şimdi yama yapmalıyım satıcı tavsiye etti. “Sorunlardan etkilenen bir sürümü çalıştıran tüm kurulumların mümkün olan en kısa sürede en son sürüme yükseltilmesini şiddetle tavsiye ediyoruz.”
GitLab, kuruluşların CVE-2024-45409’u hedef alan istismarlara karşı önlem almak için kendi kendine yönetilen GitLab kurulumları için tüm kullanıcı hesapları için iki faktörlü kimlik doğrulamayı etkinleştirmesini önerdi. GitLab, “Kimlik sağlayıcı çok faktörlü kimlik doğrulamayı etkinleştirmek bu güvenlik açığını azaltmaz,” diye uyardı. Şirket ayrıca kuruluşların GitLab’da SAML iki faktörlü atlama seçeneğine izin vermemesini öneriyor. Ayrıca, GitLab’ın tavsiyesi, kusura bağlı istismar etkinliğinin işaretlerini nasıl avlayacağınız ve tespit edeceğiniz konusunda ayrıntılı rehberlik sağlıyor.
CVE-2024-45409, GitLab’ın SAML tabanlı kimlik doğrulama özelliğinin bir parçası olan Ruby SAML’in 12.2 ve daha eski sürümlerinde ve 1.13.0 ila 1.16.0 sürümlerinde mevcuttur. Ruby SAML, kuruluşların kullanıcıları harici kimlik sağlayıcıları aracılığıyla GitLab’a kimlik doğrulamasını sağlayan şeydir.
Uygunsuz İmza Doğrulaması
Ulusal Güvenlik Açığı Veritabanı’nın kusur açıklaması, etkilenen Ruby SAML sürümlerinin bir SAML yanıtındaki kriptografik imzayı doğrulamadığını veya yanlış bir şekilde doğruladığını gösteriyor. Bu, bir kimlik sağlayıcısından herhangi bir imzalı SAML belgesine erişimi olan bir saldırganın bir SAML yanıtı taklit etmesine olanak tanır. “Bu, saldırganın şu şekilde oturum açmasına olanak tanır: [an] NVD, “Güvenlik açığı bulunan sistem içerisinde keyfi kullanıcıya izin verilmemektedir” dedi.
GitLab, danışma yazısında, kusur için başarılı bir istismar oluşturmak için bir saldırganın, bir kuruluşun meşru kimlik sağlayıcısından gelenlerle aynı olan SAML iddiaları oluşturmanın bir yolunu bulması gerektiğini söyledi. Bu, kullanıcı adı, rol, kimlik ve ayrıcalıklar gibi önemli alanları doğru bir şekilde kopyalamak için gereken bilgilere sahip olmayı gerektirir.
“Bir exploit oluştururken, birçok SAML iddiaları GitLab, “Bir saldırganın meşru bir girişi mükemmel bir şekilde kopyalamak için bir zanaat yapması gerekir” dedi. “Bunlar, sizin belirlediğiniz hem anahtar hem de değer alanlarını içerir [identity provider] ve yetkisiz kişiler tarafından bilinmeyebilir — özellikle de bu nitelikleri özelleştirdiyseniz.”
Özellikle Dev Platformlarında Sorun Yaratıyor
Araştırmacılar, GitHub gibi DevOps platformlarındaki güvenlik açıklarının, saldırganlara uygulama geliştirme ortamlarını çeşitli şekillerde tehlikeye atma fırsatı sağlaması nedeniyle özellikle sorunlu olduğunu düşünüyor.
OK Security’de siber güvenlik stratejisti olan Katie Teitler-Santullo, “Kimlik doğrulama kontrollerini atlatma yeteneği büyük bir tehdittir, çünkü saldırganlara geliştirme ortamlarına kolayca girme ve muazzam hasara yol açma fırsatı verir – tüm bunlar herhangi bir uyarı tetiklemeden,” diyor. “Muhtemelen ve umarım ki, kuruluşlar tüm erişimin tamamen yetkilendirildiğinden emin olmak için güçlü kimlik doğrulama – MFA en az ayrıcalık ve sıfır güven ilkeleri – kullanıyorlardır.”
Contrast Security’nin kurucusu ve CTO’su Jeff Williams, kimlik doğrulama atlama kusurlarını ele almanın önemini vurguluyor. “Bu durumda, herhangi bir kullanıcı olarak oturum açmak ve bir kullanıcının yapabileceği herhangi bir eylemi gerçekleştirmek için sahte bir SAML doğrulaması oluşturulabilir,” diyor. “Bu, boru hatlarını kurcalamayı, yazılım ürünlerine kötü amaçlı kod yerleştirmeyi, fikri mülkiyeti çalmayı, kötü amaçlı yazılım yüklemeyi veya aklınıza gelebilecek herhangi bir kötü şeyi içerebilir.”
CVE-2024-45409, GitHub’ın bu ay düzenli güvenlik güncellemelerinin bir parçası olarak açıkladığı 18 güvenlik açığı arasında en kritik olanıdır. GitHub, bunlardan birini değerlendirdi diğer 17 güvenlik açığı kritik olarak. Kusur (CVE-2024-6678), CVSS önem derecesi 9.9 olan, birden fazla GitLab CE ve EE sürümünü etkiler. Son aylarda kimliği doğrulanmamış, uzak bir saldırganın bir boru hattı çalıştırmak GitLab ortamındaki herhangi bir kullanıcı bağlamında.
Bu güvenlik açığı, GitLab’ın Mayıs ayında açıkladığı kusurlara benziyor. Haziran, ve Temmuz ayında ve güvenliği ciddiye almama örüntüsü olduğunu söylüyor Williams. “Ay ay kritik güvenlik açıkları. Belki daha iyi test yapıyorlar? İyi. Ya da belki proaktif değiller. Şeffaflığa ihtiyacımız var.”