A GitLab disponibilizou correções para tratar de uma falha crítica que afeta as edições Community (CE) e Enterprise (EE), que poderia resultar em uma falha de autenticação.
A vulnerabilidade origina-se na biblioteca ruby-saml (
CVE-2024-45409
, pontuação CVSS: 10.0), que poderia permitir a um atacante logar como um usuário arbitrário dentro do sistema vulnerável.
Ela foi tratada pelos mantenedores na última semana.
O problema resulta do fato de a biblioteca não verificar adequadamente a assinatura da Resposta SAML.
SAML, abreviação de Security Assertion Markup Language, é um protocolo que permite o single sign-on (SSO) e a troca de dados de autenticação e autorização através de múltiplos aplicativos e sites.
"Um atacante não autenticado com acesso a qualquer documento SAML assinado (pelo IdP) pode, assim, forjar uma Resposta/Afirmação SAML com conteúdos arbitrários, segundo um aviso de segurança.
"Isso permitiria ao atacante logar como um usuário arbitrário dentro do sistema vulnerável."
Vale notar que a falha também impacta o omniauth-saml, que disponibilizou uma atualização própria (versão 2.2.1) para atualizar o ruby-saml para a versão 1.17.
A última correção da GitLab tem como objetivo atualizar as dependências omniauth-saml para a versão 2.2.1 e ruby-saml para 1.17.0.
Isso inclui as versões 17.3.3, 17.2.7, 17.1.8, 17.0.8 e 16.11.10.
Como mitigação, a GitLab está instando os usuários de instalações gerenciadas por si a habilitarem a autenticação de dois fatores (2FA) para todas as contas e a não permitirem a opção de bypass de dois fatores do SAML.
A GitLab não mencionou se a falha foi explorada ativamente, mas forneceu indicadores de tentativas de exploração bem-sucedidas ou não, sugerindo que atores de ameaças podem estar tentando ativamente se aproveitar das deficiências para ganhar acesso a instâncias GitLab suscetíveis.
"Tentativas de exploração bem-sucedidas dispararão eventos de log relacionados ao SAML," disse.
"Uma tentativa de exploração bem-sucedida registrará qualquer valor de extern_id definido pelo atacante que tentar a exploração."
Tentativas de exploração não bem-sucedidas podem gerar uma ValidationError da biblioteca RubySaml.
Isso pode ocorrer por uma variedade de razões relacionadas à complexidade de criar um exploit funcional.
Este desenvolvimento ocorre quando a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) adicionou cinco falhas de segurança ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), incluindo um bug crítico recentemente divulgado que impacta o Apache HugeGraph-Server (
CVE-2024-27348
, pontuação CVSS: 9.8), com base em evidências de exploração ativa.
Agências do Executivo Civil Federal (FCEB) receberam recomendação para remediar as vulnerabilidades identificadas até 9 de outubro de 2024, para proteger suas redes contra ameaças ativas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...