Correctifs GitLab : Correction d'une grave faille de contournement de l'authentification SAML
Une faille critique de contournement de l'authentification SAML a été récemment identifiée dans les éditions Community (CE) et Enterprise (EE) de GitLab. Dès à présent, correctifs GitLab GitLab visant à corriger la faille ont été publiés ; cependant, si les correctifs n'avaient pas été publiés, d'éventuels exploits de la faille auraient pu être préjudiciables. Dans cet article, nous allons nous plonger dans les détails de la faille et des correctifs tout en couvrant sa gravité, sa cause profonde, et plus encore. C'est parti !
Les racines de CVE-2024-45409
La faille de la bibliothèque ruby-saml, pour laquelle les correctifs de correctifs GitLab ont été publiés, était répertoriée sous la référence CVE-2024-45409. La faille avait un score de gravité de vulnérabilité critique (CVSS) de 10.0, ce qui signifie que les exploits auraient pu conduire les attaquants à obtenir des avantages significatifs, leur permettant de causer d'autres dommages.
La cause principale, et la raison pour laquelle des correctifs ont été nécessaires, est que la bibliothèque ne vérifie pas correctement les signatures de la réponse SAML. Security Assertion Markup Language (SAML) est un protocole de sécurité qui permet l'authentification unique (SSO). En outre, le protocole garantit l'échange de données d'autorisation et d'authentification par le biais de plusieurs applications et sites web.
Dans un avis de sécuritéqui donne des indications sur les possibilités d'exploitation, il est indiqué que :
"Un attaquant non authentifié ayant accès à tout document SAML signé (par l'IdP) peut ainsi falsifier une réponse/affirmation SAML avec un contenu arbitraire. Cela permettrait à l'attaquant de se connecter en tant qu'utilisateur arbitraire au sein du système vulnérable."
Pas d'exploitation connue dans la nature
GitLab n'a pour l'instant fait aucune mention de l'exploitation de la faille dans la nature. Cependant, les rapports des médias ont affirmé que GitLab avait indiqué les tentatives d'exploitation et les succès concernant la faille pour laquelle les correctifs de correctifs GitLab sont publiés.
Ces indications suggèrent que les acteurs de la menace tentent de capitaliser sur la faille pour obtenir un accès initial. Commentant le succès et l'échec des tentatives d'exploitation, GitLab a a déclaré que :
"Les tentatives d'exploitation réussies déclenchent des événements de journalisation liés à SAML. Une tentative d'exploitation réussie enregistrera la valeur extern_id définie par l'attaquant qui tente l'exploitation. Les tentatives d'exploitation infructueuses peuvent générer une ValidationError de la bibliothèque RubySaml. Cela peut être dû à une variété de raisons liées à la complexité de l'élaboration d'un exploit fonctionnel."
Correctifs GitLab publiés pour atténuer les menaces
En ce qui concerne les correctifs, ils ont été appliqués aux versions suivantes :
- 17.3.3.
- 17.2.7.
- 17.1.8.
- 17.0.8.
- 16.11.10.
En plus de ces correctifs, OmniAuth SAML a été mis à niveau vers la version 2.2.1 et Ruby-SAML vers la version 1.17.0. Il convient de mentionner que ce problème n'affecte que les instances autogérées ; par conséquent, les utilisateurs d'instances GitLab Dedicated n'ont pas besoin de prendre des mesures.
Les utilisateurs qui possèdent la version affectée sont priés d'appliquer rapidement les correctifs de correctifs GitLab en mettant à jour vers une version sécurisée, car cela peut considérablement réduire considérablement l'exposition aux menaces.
Conclusion
La faille critique de contournement de l'authentification SAML représentait une menace importante pour les instances autogérées de GitLab. Bien qu'aucune exploitation active n'ait été confirmée, l'application des correctifs de correctifs GitLab est essentielle pour réduire les risques potentiels. Le paysage des cybermenaces devenant de plus en plus complexe, les utilisateurs doivent mettre en œuvre des mesures de sécurité proactives pour assurer leur protection.
Les sources de cet article comprennent des articles dans The Hacker News et BLEEPING COMPUTER.