GitLab telah merilis pembaruan keamanan untuk mengatasi kerentanan bypass autentikasi SAML kritis yang memengaruhi instalasi GitLab Community Edition (CE) dan Enterprise Edition (EE) yang dikelola sendiri.
Security Assertion Markup Language (SAML) adalah protokol autentikasi single sign-on (SSO) yang memungkinkan pengguna untuk masuk lintas layanan berbeda menggunakan kredensial yang sama.
Kelemahan tersebut, yang dilacak sebagai CVE-2024-45409, muncul dari masalah pada pustaka OmniAuth-SAML dan Ruby-SAML, yang digunakan GitLab untuk menangani autentikasi berbasis SAML.
Kerentanan terjadi ketika respons SAML yang dikirim oleh penyedia identitas (IdP) ke GitLab berisi kesalahan konfigurasi atau dimanipulasi.
Secara khusus, kelemahan tersebut melibatkan validasi yang tidak memadai terhadap elemen-elemen kunci dalam pernyataan SAML, seperti extern_uid (ID pengguna eksternal), yang digunakan untuk mengidentifikasi pengguna secara unik di berbagai sistem.
Seorang penyerang dapat membuat respons SAML jahat yang mengelabui GitLab agar mengenali mereka sebagai pengguna terautentikasi, melewati autentikasi SAML, dan memperoleh akses ke instans GitLab.
Kelemahan CVE-2024-45409 memengaruhi GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10, dan semua rilis sebelumnya dari cabang tersebut.
Kerentanan tersebut diatasi dalam GitLab versi 17.3.3, 17.2.7, 17.1.8, 17.0.8, dan 16.11.10, di mana OmniAuth SAML telah ditingkatkan ke versi 2.2.1 dan Ruby-SAML ke 1.17.0.
“Kami sangat menyarankan agar semua instalasi yang menjalankan versi yang terpengaruh oleh masalah yang dijelaskan di bawah ini ditingkatkan ke versi terbaru sesegera mungkin,” memperingatkan GitLab dalam buletin.
Tidak ada tindakan yang perlu diambil oleh pengguna instans GitLab Dedicated di GitLab.com, karena masalah ini hanya memengaruhi instalasi yang dikelola sendiri.
Bagi mereka yang tidak dapat segera meningkatkan ke versi aman, GitLab menyarankan untuk mengaktifkan autentikasi dua faktor (2FA) untuk semua akun, dan menyetel opsi bypass SAML 2FA ke “jangan izinkan”.
Tanda-tanda eksploitasi
Walaupun GitLab belum menyatakan bahwa kelemahan itu sebelumnya telah dieksploitasi, mereka memberikan tanda-tanda percobaan atau keberhasilan eksploitasi dalam buletin tersebut, yang menunjukkan bahwa aktor jahat mungkin telah memanfaatkan kelemahan tersebut dalam serangan.
Tanda-tanda percobaan atau keberhasilan eksploitasi adalah:
- Kesalahan terkait dengan RubySaml::ValidationError (upaya tidak berhasil).
- Nilai extern_uid baru atau tidak biasa dalam log autentikasi (percobaan berhasil).
- Informasi hilang atau salah dalam respons SAML.
- Beberapa nilai extern_uid untuk satu pengguna (menunjukkan potensi peretasan akun).
- Autentikasi SAML dari alamat IP yang tidak dikenal atau mencurigakan dibandingkan dengan pola akses pengguna yang biasa.
Sumber: GitLab
BleepingComputer menghubungi GitLab kemarin untuk menanyakan apakah mereka telah mengamati eksploitasi aktif CVE-2024-45409 di alam liar, tetapi kami masih menunggu tanggapan.
