GitLab telah merilis patch untuk mengatasi kelemahan kritis yang memengaruhi Community Edition (CE) dan Enterprise Edition (EE) yang dapat mengakibatkan pengabaian autentikasi.
Kerentanan tersebut berakar pada pustaka ruby-saml (CVE-2024-45409, skor CVSS: 10.0), yang dapat memungkinkan penyerang untuk masuk sebagai pengguna sembarangan dalam sistem yang rentan. Masalah tersebut telah diatasi oleh pengelola minggu lalu.
Masalah ini terjadi karena pustaka tidak memverifikasi tanda tangan Respons SAML dengan benar. SAML, kependekan dari Security Assertion Markup Language, adalah protokol yang memungkinkan akses masuk tunggal (SSO) dan pertukaran data autentikasi dan otorisasi di beberapa aplikasi dan situs web.
“Penyerang yang tidak diautentikasi dengan akses ke dokumen SAML yang ditandatangani (oleh IdP) dapat memalsukan Respons/Pernyataan SAML dengan konten yang sembarangan, menurut sebuah nasihat keamanan. “Hal ini akan memungkinkan penyerang untuk masuk sebagai pengguna sembarangan dalam sistem yang rentan.”
Perlu dicatat bahwa kelemahan tersebut juga berdampak pada omniauth-saml, yang mengirimkan pembaruannya sendiri (versi 2.2.1) untuk meningkatkan ruby-saml ke versi 1.17.
Patch terbaru dari GitLab dirancang untuk memperbarui dependensi omniauth-saml ke versi 2.2.1 dan ruby-saml ke versi 1.17.0. Ini termasuk versi 17.3.3, 17.2.7, 17.1.8, 17.0.8, dan 16.11.10.
Sebagai mitigasi, GitLab mendesak pengguna instalasi yang dikelola sendiri untuk mengaktifkan autentikasi dua faktor (2FA) untuk semua akun dan melarang opsi bypass dua faktor SAML.
GitLab tidak menyebutkan adanya kelemahan yang dieksploitasi secara luas, tetapi telah memberikan indikator percobaan atau keberhasilan eksploitasi, yang menunjukkan bahwa aktor ancaman mungkin secara aktif mencoba memanfaatkan kekurangan tersebut untuk mendapatkan akses ke instansi GitLab yang rentan.
“Upaya eksploitasi yang berhasil akan memicu peristiwa log terkait SAML,” katanya. “Upaya eksploitasi yang berhasil akan mencatat nilai extern_id apa pun yang ditetapkan oleh penyerang yang mencoba melakukan eksploitasi.”
“Upaya eksploitasi yang gagal dapat menghasilkan ValidationError dari pustaka RubySaml. Hal ini dapat terjadi karena berbagai alasan yang terkait dengan kompleksitas pembuatan eksploitasi yang berfungsi.”
Perkembangan ini terjadi saat Badan Keamanan Siber dan Infrastruktur AS (CISA) menambahkan lima kelemahan keamanan ke katalog Kerentanan Eksploitasi yang Diketahui (KEV), termasuk bug kritis yang baru-baru ini diungkapkan yang memengaruhi Apache HugeGraph-Server (CVE-2024-27348, skor CVSS: 9.8), berdasarkan bukti eksploitasi aktif.
Badan-badan Cabang Eksekutif Sipil Federal (FCEB) telah direkomendasikan untuk memperbaiki kerentanan yang teridentifikasi paling lambat 9 Oktober 2024, untuk melindungi jaringan mereka dari ancaman aktif.