O GitLab lançou patches para corrigir uma falha crítica que afeta a Group Version (CE) e a Enterprise Version (EE) e que pode resultar em um desvio de autenticação.
A vulnerabilidade está enraizada na biblioteca ruby-saml (CVE-2024-45409, pontuação CVSS: 10.0), o que pode permitir que um invasor faça login como um usuário arbitrário dentro do sistema vulnerável. Foi abordado pelos mantenedores na semana passada.
O problema é resultado da biblioteca não verificar corretamente a assinatura da resposta SAML. SAML, abreviação de Safety Assertion Markup Language, é um protocolo que permite o logon único (SSO) e a troca de dados de autenticação e autorização entre vários aplicativos e websites.
“Um invasor não autenticado com acesso a qualquer documento SAML assinado (pelo IdP) pode, portanto, forjar uma Resposta/Afirmação SAML com conteúdo arbitrário, de acordo com um aviso de segurança. “Isso permitiria que o invasor efetuasse login como usuário arbitrário dentro do sistema vulnerável.”
Vale ressaltar que a falha também afeta o omniauth-saml, que lançou uma atualização própria (versão 2.2.1) para atualizar o ruby-saml para a versão 1.17.
O patch mais recente do GitLab foi projetado para atualizar as dependências omniauth-saml para a versão 2.2.1 e ruby-saml para 1.17.0. Isso inclui as versões 17.3.3, 17.2.7, 17.1.8, 17.0.8 e 16.11.10.
Como medidas de mitigação, o GitLab está pedindo aos usuários de instalações autogerenciadas que habilitem a autenticação de dois fatores (2FA) para todas as contas e desabilitem a opção de ignorar dois fatores do SAML.
O GitLab não menciona que a falha está sendo explorada na prática, mas forneceu indicadores de tentativa ou exploração bem-sucedida, sugerindo que os agentes de ameaças podem estar tentando ativamente capitalizar as deficiências para obter acesso a instâncias suscetíveis do GitLab.
“Tentativas de exploração bem-sucedidas acionarão eventos de log relacionados a SAML”, disse. “Uma tentativa de exploração bem-sucedida registrará qualquer valor extern_id definido pelo invasor que tenta a exploração.”
“Tentativas de exploração malsucedidas podem gerar um ValidationError da biblioteca RubySaml. Isso pode ocorrer por vários motivos relacionados à complexidade de criar um exploit funcional.”
O desenvolvimento ocorre no momento em que a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou cinco falhas de segurança ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), incluindo um bug crítico divulgado recentemente que afeta o Apache HugeGraph-Server (CVE-2024-27348, pontuação CVSS: 9,8), com base em evidências de exploração ativa.
Foi recomendado que as agências do Poder Executivo Civil Federal (FCEB) remediem as vulnerabilidades identificadas até 9 de outubro de 2024, para proteger suas redes contra ameaças ativas.