GitLab  усунув критичну вразливість SAML
🕒 Час читання: 2 хв

GitLab усунув критичну вразливість SAML

GitLab випустив патчі для вирішення критичної вразливості SAML, яка зачіпає Community Edition (CE) та Enterprise Edition (EE), що може призвести до обходу аутентифікації.

Деталі критичної вразливості CVE-2024-45409

Вразливість пов’язана з бібліотекою ruby-saml (CVE-2024-45409, оцінка CVSS: 10.0), яка дозволяє зловмиснику увійти в систему як будь-який користувач. Це стало можливим через те, що бібліотека неправильно перевіряла підпис SAML-відповіді. SAML (Security Assertion Markup Language) – це протокол, що дозволяє реалізувати єдиний вхід (SSO) та обмін даними про аутентифікацію й авторизацію між кількома додатками і сайтами.

«Неавтентифікований зловмисник з доступом до підписаного SAML-документа може підробити відповідь або твердження SAML з довільним вмістом», – повідомляє рекомендація з безпеки. Це надає можливість зловмиснику увійти в систему під будь-яким користувачем без потреби в наявності його реальних облікових даних.

Як оновлення GitLab вирішує проблему аутентифікації SAML

Ця вразливість також впливає на бібліотеку omniauth-saml. Завдяки швидкому реагуванню, вона вже отримала оновлення до версії 2.2.1, що містить оновлення ruby-saml до версії 1.17.

Останнє оновлення від GitLab включає залежності для omniauth-saml версії 2.2.1 та ruby-saml версії 1.17.0. До оновлення входять версії 17.3.3, 17.2.7, 17.1.8, 17.0.8 та 16.11.10. Важливо, щоб усі користувачі своєчасно застосували ці оновлення, щоб уникнути потенційних загроз.

GitLab рекомендує користувачам самокерованих інсталяцій увімкнути двофакторну аутентифікацію (2FA) для всіх облікових записів і заборонити можливість обходу двофакторної аутентифікації через SAML.

Наразі немає доказів експлуатації цієї вразливості в дикій природі, проте GitLab надає індикатори, що свідчать про спроби експлуатації. Відомо, що успішні спроби викликають події в журналах, пов’язані з SAML. Також є інформація, що невдалі спроби можуть викликати помилки ValidationError у бібліотеці RubySaml через складність створення експлойту.

CISA попереджає про активну експлуатацію нових вразливостей

Цей інцидент збігається з тим, що Агентство з кібербезпеки та інфраструктурної безпеки США (CISA) додало п’ять нових вразливостей до свого каталогу відомих експлуатованих вразливостей (KEV). Серед них є критична вразливість Apache HugeGraph-Server (CVE-2024-27348, оцінка CVSS: 9.8), яка вже активно експлуатується.

Федеральним цивільним агентствам рекомендовано усунути ці вразливості до 9 жовтня 2024 року для захисту своїх мереж від активних загроз.