Kritická zraniteľnosť GitLab

Spoločnosť GitLab vydala aktualizáciu opravujúcu kritickú zraniteľnosť, ktorá zasahuje autentifikačný proces na báze štandardu SAML. Chyba umožňuje neoverenému útočníkovi obísť prihlásenie.

Zraniteľné systémy:

• GitLab Community Edition (CE) staršie ako 17.3.3, 17.2.7, 17.1.8, 17.0.8 a 16.11.10
• GitLab Enterprise Edition (EE) staršie ako 17.3.3, 17.2.7, 17.1.8, 17.0.8 a 16.11.10

Opis činnosti:

CVE-2024-45409 (CVSS skóre 10,0)

Kritická zraniteľnosť CVE-2024-45409 súvisí s chybami v knižniciach omniauth-saml a ruby-saml, ktoré GitLab využíva v rámci autentifikácie na báze štandardu SAML (Security Assertion Markup Language). Knižnice nesprávne overujú podpis SAML odpovede. Neautentifikovaný útočník s prístupom k podpísanému dokumentu SAML tak môže vytvoriť falošnú odpoveď a prihlásiť sa ako ľubovoľný používateľ.
Zraniteľnosť zasahuje iba inštancie s nastavenou autentifikáciou pomocou SAML.

Možné škody:

• Obchádzanie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia na verziu 17.3.3, 17.2.7, 17.1.8, 17.0.8 alebo 16.11.10. Tieto záplaty aktualizujú závislosti omniauth-saml na verziu 2.2.1 a ruby-saml na 1.17.0.

Pokiaľ aktualizácia nie je možná, vynúťte dvojfaktorovú autentifikáciu pre všetkých používateľov. Zároveň zakážte možnosť, aby ju prihlasovanie prostredníctvom SAML obchádzalo.

Preveriť potenciálnu úspešnú kompromitáciu môžete v logoch application_json a auth_json, kde bude zaznamenaná hodnota extern_id a extern_uid, ktorú útočník použil. Znakom zneužitia zraniteľnosti môžu byť aj chýbajúce alebo nesprávne informácie v položke attributes v súbore auth_json.

Odkazy:

• https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/
• https://nvd.nist.gov/vuln/detail/CVE-2024-45409
• https://thehackernews.com/2024/09/gitlab-patches-critical-saml.html