GitLab hat Patches veröffentlicht, um eine kritische Sicherheitslücke in seinen Community Edition (CE) und Enterprise Edition (EE) Produkten zu schließen, die zu einer Authentifizierungsumgehung führen könnte.
Der Fehler liegt in der Bibliothek „ruby-saml“ (CVE-2024-45409, CVSS-Score: 10.0) begründet, die es einem Angreifer ermöglichen könnte, sich als beliebiger Benutzer innerhalb des betroffenen Systems anzumelden. Er wurde letzte Woche von den Betreuern behoben.
Das Problem ergibt sich daraus, dass die Bibliothek die Signatur der SAML-Antwort nicht korrekt überprüft. SAML, kurz für Security Assertion Markup Language, ist ein Protokoll, das Single Sign-On (SSO) ermöglicht und Authentifizierungs- und Autorisierungsdaten über mehrere Anwendungen und Websites hinweg austauscht.
„Ein nicht authentifizierter Angreifer mit Zugriff auf ein beliebiges signiertes SAML-Dokument (durch den IdP) kann daher eine SAML-Antwort/Assertion mit beliebigem Inhalt fälschen“, heißt es in einem Sicherheitshinweis. „Dies würde es dem Angreifer ermöglichen, sich als beliebiger Benutzer innerhalb des anfälligen Systems anzumelden.“
Es ist erwähnenswert, dass der Fehler auch „omniauth-saml“ betrifft, das ein eigenes Update (Version 2.2.1) ausgeliefert hat, um „ruby-saml“ auf Version 1.17 zu aktualisieren.
Der neueste Patch von GitLab soll die Abhängigkeiten „omniauth-saml“ auf Version 2.2.1 und „ruby-saml“ auf 1.17.0 aktualisieren. Betroffen sind die Versionen 17.3.3, 17.2.7, 17.1.8, 17.0.8 und 16.11.10.
Als Gegenmaßnahme fordert GitLab Benutzer selbstverwalteter Instanzen dringend auf, die Zwei-Faktor-Authentifizierung (2FA) für alle Konten zu aktivieren und die Option zur Umgehung der Zwei-Faktor-Authentifizierung für SAML zu deaktivieren.
GitLab erwähnt nicht, ob der Fehler in freier Wildbahn ausgenutzt wird, hat aber Hinweise auf versuchte oder erfolgreiche Ausnutzung gegeben, was darauf hindeutet, dass Angreifer möglicherweise aktiv versuchen, die Schwachstellen auszunutzen, um sich Zugang zu anfälligen GitLab-Instanzen zu verschaffen.
„Erfolgreiche Ausnutzungsversuche lösen SAML-bezogene Protokollereignisse aus“, hieß es. „Ein erfolgreicher Ausnutzungsversuch protokolliert den Wert \“extern_id\“, der vom Angreifer festgelegt wurde, der den Ausnutzungsversuch unternimmt.“
„Fehlgeschlagene Ausnutzungsversuche können einen \“ValidationError\“ von der Bibliothek \“RubySaml\“ erzeugen. Dies kann verschiedene Gründe haben, die mit der Komplexität der Erstellung eines funktionierenden Exploits zusammenhängen.“
Die Entwicklung erfolgt, während die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) um fünf Sicherheitslücken erweitert hat, darunter ein kürzlich offengelegter kritischer Fehler, der Apache HugeGraph-Server betrifft (CVE-2024-27348, CVSS-Score: 9.8), basierend auf Hinweisen auf aktive Ausnutzung.
Den Behörden des Federal Civilian Executive Branch (FCEB) wurde empfohlen, die identifizierten Schwachstellen bis zum 9. Oktober 2024 zu beheben, um ihre Netzwerke vor aktiven Bedrohungen zu schützen.