تحذير: ثغرة أمنية خطيرة تهدد أمان GitLab

لدى GitLab مطلق سراحه تصحيحات لمعالجة خلل خطير يؤثر على إصدار المجتمع (CE) وإصدار المؤسسة (EE) والذي قد يؤدي إلى تجاوز المصادقة.

تكمن جذور الثغرة الأمنية في مكتبة Ruby-saml (CVE-2024-45409، درجة CVSS: 10.0)، والتي قد تسمح للمهاجم بتسجيل الدخول كمستخدم عشوائي داخل النظام الضعيف. تم تناوله من قبل المشرفين الأسبوع الماضي.

المشكلة نتيجة عدم قيام المكتبة بالتحقق بشكل صحيح من توقيع استجابة SAML. SAML، وهو اختصار للغة ترميز تأكيد الأمان، هو بروتوكول يتيح تسجيل الدخول الموحد (SSO) وتبادل بيانات المصادقة والترخيص عبر تطبيقات ومواقع ويب متعددة.

“يمكن للمهاجم غير المصادق عليه والذي يتمتع بإمكانية الوصول إلى أي مستند SAML موقع (بواسطة IdP) أن يقوم بتزوير استجابة/تأكيد SAML بمحتويات عشوائية، وفقًا لـ استشارة أمنية. “سيسمح هذا للمهاجم بتسجيل الدخول كمستخدم عشوائي داخل النظام الضعيف.”

تجدر الإشارة إلى أن الخلل يؤثر أيضًا على omniauth-saml، والذي تم شحنها تحديث خاص به (الإصدار 2.2.1) لترقية Ruby-saml إلى الإصدار 1.17.

تم تصميم أحدث تصحيح من GitLab لتحديث التبعيات omniauth-saml إلى الإصدار 2.2.1 وRuby-saml إلى 1.17.0.

يتضمن ذلك الإصدارات 17.3.3 و17.2.7 و17.1.8 و17.0.8 و16.11.10.

ولتخفيف المخاطر، تحث GitLab مستخدمي التثبيتات المُدارة ذاتيًا على تمكين المصادقة الثنائية (2FA) لجميع الحسابات وعدم السماح تجاوز SAML ثنائي العامل خيار.

لم يذكر GitLab الخلل الذي يتم استغلاله في البرية، لكنه قدم مؤشرات على محاولة الاستغلال أو النجاح فيه، مما يشير إلى أن الجهات الفاعلة في مجال التهديد ربما تحاول بنشاط الاستفادة من أوجه القصور للوصول إلى مثيلات GitLab الحساسة.

وقالت: “ستؤدي محاولات الاستغلال الناجحة إلى تشغيل أحداث السجل ذات الصلة بـ SAML”. “ستقوم محاولة الاستغلال الناجحة بتسجيل أي قيمة extern_id تم تعيينها بواسطة المهاجم الذي يحاول الاستغلال.”

“قد تؤدي محاولات الاستغلال غير الناجحة إلى حدوث خطأ في التحقق من الصحة من مكتبة RubySaml. وقد يكون ذلك نتيجة لمجموعة متنوعة من الأسباب المتعلقة بتعقيد صياغة برمجية إكسبلويت فعالة.”

ويأتي هذا التطور في الوقت الذي أعلنت فيه وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) وأضاف خمسة عيوب أمنية في نقاط الضعف المستغلة المعروفة (كيف) ، بما في ذلك خطأ فادح تم الكشف عنه مؤخرًا يؤثر على Apache HugeGraph-Server (CVE-2024-27348، درجة CVSS: 9.8)، استنادًا إلى أدلة الاستغلال النشط.

تمت توصية وكالات السلطة التنفيذية المدنية الفيدرالية (FCEB) بمعالجة نقاط الضعف المحددة بحلول 9 أكتوبر 2024، لحماية شبكاتها من التهديدات النشطة.