19 de septiembre de 2024Ravie LakshmananSeguridad empresarial / DevOps
GitLab ha lanzado un parche para solucionar una falla crítica que afecta a Community Edition (CE) y Enterprise Edition (EE) y que podría provocar una omisión de autenticación.
Esta vulnerabilidad se debe a la biblioteca ruby-saml (CVE-2024-45409, puntuación CVSS: 10.0) y podría permitir a un atacante iniciar sesión como cualquier usuario dentro de un sistema vulnerable. Este problema fue abordado por los mantenedores la semana pasada.
Este problema se produce porque la biblioteca no valida correctamente la firma de la respuesta SAML. SAML significa Lenguaje de marcado de afirmación de seguridad y es un protocolo que permite el inicio de sesión único (SSO) y el intercambio de datos de autenticación y autorización entre múltiples aplicaciones y sitios web.
Según el aviso de seguridad, “Un atacante no autenticado con acceso a un documento SAML firmado (por el IdP) puede falsificar una respuesta/afirmación SAML que contenga contenido arbitrario. Esto le permite al atacante iniciar sesión como cualquier usuario dentro.
También vale la pena señalar que esta falla también afecta a omniauth-saml, que ha lanzado su propia actualización (versión 2.2.1) para actualizar ruby-saml a la versión 1.17.
El último parche de GitLab está diseñado para actualizar las dependencias omniauth-saml a la versión 2.2.1 y ruby-saml a la versión 1.17.0. Esto incluye las versiones 17.3.3, 17.2.7, 17.1.8, 17.0.8 y 16.11.10.
Como mitigación, GitLab recomienda encarecidamente que los usuarios de instalaciones autoadministradas habiliten la autenticación de dos factores (2FA) para todas las cuentas y no permitan la opción de omisión de dos factores SAML.
GitLab no ha declarado que esta falla haya sido explotada en la naturaleza, pero ha mostrado signos de intento de explotación exitosa, y los actores de amenazas están utilizando la vulnerabilidad para explotar instancias vulnerables de GitLab. Esto sugiere que pueden estar intentando acceder activamente al archivo .
“Un intento de ataque exitoso desencadena un evento de registro relacionado con SAML”, dijo la compañía. “Un intento de ataque exitoso registrará el valor extern_id establecido por el atacante que intenta el ataque”.
“La biblioteca RubySaml puede generar un ValidationError cuando falla un intento de explotación. Esto puede deberse a una variedad de razones relacionadas con la complejidad de crear un exploit que funcione”.
Este desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), basándose en evidencia de explotación activa, identificó un error crítico publicado recientemente (CVE-2024-27348, puntuación CVSS). Esto se produce después de que la compañía agregara cinco fallas de seguridad a su conocido Catálogo de vulnerabilidades explotadas (KEV), incluido 9.8).
Se recomienda a los Órganos Ejecutivos Civiles Federales (FCEB) que corrijan las vulnerabilidades identificadas antes del 9 de octubre de 2024 para proteger sus redes de amenazas activas.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/gitlab-patches-critical-saml.html
