GitLab ha implementado parches para solucionar una vulnerabilidad crítica que afecta a las ediciones Community Edition (CE) y Enterprise Edition (EE), la cual podría resultar en una omisión de autenticación.
La vulnerabilidad se identifica en la biblioteca Ruby-saml (CVE-2024-45409, puntuación CVSS: 10.0), permitiendo a un atacante iniciar sesión como un usuario arbitrario en el sistema afectado. El equipo de mantenimiento resolvió el problema la semana pasada.
El fallo radica en que la biblioteca no verifica correctamente la firma de las respuestas SAML. SAML, que significa Security Assertion Markup Language, es un protocolo que facilita el inicio de sesión único (SSO) y el intercambio de datos de autenticación y autorización entre diferentes aplicaciones y sitios web.
“Un atacante no autenticado con acceso a cualquier documento SAML firmado (por el IdP) puede falsificar una respuesta/afirmación SAML con contenido arbitrario”, según un aviso de seguridad. “Esto permitiría al atacante iniciar sesión como un usuario arbitrario en el sistema vulnerable”.
Es importante mencionar que la vulnerabilidad también afecta a omniauth-saml, que lanzó una actualización (versión 2.2.1) para actualizar ruby-saml a la versión 1.17.
El último parche de GitLab está diseñado para actualizar las dependencias omniauth-saml a la versión 2.2.1 y ruby-saml a la 1.17.0, abarcando las versiones 17.3.3, 17.2.7, 17.1.8, 17.0.8 y 16.11.10.
Como medida de mitigación, GitLab recomienda a los usuarios de instalaciones autoadministradas habilitar la autenticación de dos factores (2FA) para todas las cuentas y desactivar la opción de omisión de dos factores SAML.
GitLab no ha indicado que la vulnerabilidad esté siendo explotada activamente, pero ha proporcionado señales de intentos de explotación exitosos, sugiriendo que los actores maliciosos pueden estar intentando capitalizar las fallas para acceder a instancias vulnerables de GitLab.
“Los intentos de explotación exitosos generarán eventos de registro relacionados con SAML”, afirmó. “Un intento exitoso registrará cualquier valor de extern_id establecido por el atacante que intenta explotar el código”.
“Los intentos fallidos pueden dar lugar a un ValidationError de la biblioteca RubySaml, lo cual puede deberse a diversas razones relacionadas con la dificultad de crear un exploit efectivo”.
Este desarrollo ocurre tras la inclusión de cinco vulnerabilidades en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), incluyendo una falla crítica recientemente revelada que afecta a Apache HugeGraph-Server (CVE-2024-27348, puntuación CVSS: 9.8), basada en evidencia de explotación activa.
Se ha aconsejado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que remienden las vulnerabilidades identificadas antes del 9 de octubre de 2024, para proteger sus redes contra amenazas activas.
Fuente: thehackernews.com