GitLab corrige falha crítica
19 de Setembro de 2024

A GitLab disponibilizou correções para tratar de uma falha crítica que afeta as edições Community (CE) e Enterprise (EE), que poderia resultar em uma falha de autenticação.

A vulnerabilidade origina-se na biblioteca ruby-saml ( CVE-2024-45409 , pontuação CVSS: 10.0), que poderia permitir a um atacante logar como um usuário arbitrário dentro do sistema vulnerável.

Ela foi tratada pelos mantenedores na última semana.

O problema resulta do fato de a biblioteca não verificar adequadamente a assinatura da Resposta SAML.

SAML, abreviação de Security Assertion Markup Language, é um protocolo que permite o single sign-on (SSO) e a troca de dados de autenticação e autorização através de múltiplos aplicativos e sites.
"Um atacante não autenticado com acesso a qualquer documento SAML assinado (pelo IdP) pode, assim, forjar uma Resposta/Afirmação SAML com conteúdos arbitrários, segundo um aviso de segurança.

"Isso permitiria ao atacante logar como um usuário arbitrário dentro do sistema vulnerável."
Vale notar que a falha também impacta o omniauth-saml, que disponibilizou uma atualização própria (versão 2.2.1) para atualizar o ruby-saml para a versão 1.17.
A última correção da GitLab tem como objetivo atualizar as dependências omniauth-saml para a versão 2.2.1 e ruby-saml para 1.17.0.

Isso inclui as versões 17.3.3, 17.2.7, 17.1.8, 17.0.8 e 16.11.10.
Como mitigação, a GitLab está instando os usuários de instalações gerenciadas por si a habilitarem a autenticação de dois fatores (2FA) para todas as contas e a não permitirem a opção de bypass de dois fatores do SAML.

A GitLab não mencionou se a falha foi explorada ativamente, mas forneceu indicadores de tentativas de exploração bem-sucedidas ou não, sugerindo que atores de ameaças podem estar tentando ativamente se aproveitar das deficiências para ganhar acesso a instâncias GitLab suscetíveis.
"Tentativas de exploração bem-sucedidas dispararão eventos de log relacionados ao SAML," disse.

"Uma tentativa de exploração bem-sucedida registrará qualquer valor de extern_id definido pelo atacante que tentar a exploração."

Tentativas de exploração não bem-sucedidas podem gerar uma ValidationError da biblioteca RubySaml.

Isso pode ocorrer por uma variedade de razões relacionadas à complexidade de criar um exploit funcional.

Este desenvolvimento ocorre quando a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) adicionou cinco falhas de segurança ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), incluindo um bug crítico recentemente divulgado que impacta o Apache HugeGraph-Server ( CVE-2024-27348 , pontuação CVSS: 9.8), com base em evidências de exploração ativa.

Agências do Executivo Civil Federal (FCEB) receberam recomendação para remediar as vulnerabilidades identificadas até 9 de outubro de 2024, para proteger suas redes contra ameaças ativas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...