Ъпдейтнете onprem инсталация на devops платформата GitLab до някоя от следните версии: 7.3.3, 17.2.7, 17.1.8, 17.0.8 или 16.11.10.
Причината: уязвимост в използваната ruby-saml инстанция за автентикация, която позволява неоторизиран достъп до хранилищата на код – уязвимост с перфектна оценка 10 от 10 (CVE-2024-45409). Ако ползвате cloud версията на платформата, ъпдейтите вече са приложени, твърдят от GitLab в официална публикация по темата.
Ако все пак не може да ъпдетйнете локалните инстанции на платформата, то приложете следното:
- Включете дву-факторната автентикация на GitLab за всички акаунти
- Забранате заобкалянето ѝ със SAML от конфигурацията на платформата
Следи за потенциални пробиви могат да бъдат открити вapplication_json и auth_json логовете. Ако е имало неуспешни опити за експлоатация на уязвимостта, ще откриете ValidationError от RubySaml билбиотеката. Примери:
{"severity":"ERROR","time":"2024-xx-xx","correlation_id":"xx","message":"(saml) Authentication failure! invalid_ticket: OneLogin::RubySaml::ValidationError, The response was received at https://domain.com/users/auth/saml/incorrect_callback instead of https://domain.com/users/auth/saml/callback"}
"message":"(saml) Authentication failure! invalid_ticket: OneLogin::RubySaml::ValidationError, Fingerprint mismatch"
Долният е ред е пример за след за успешна експлоатация и пробив в платформата:
{"severity":"INFO","time":"2024-xx-xx","correlation_id":"xx","meta.caller_id":"OmniauthCallbacksController#saml","meta.remote_ip":"0.0.0.0","meta.feature_category":"system_access","meta.client_id":"ip/0.0.0.0","message":"(SAML) saving user exploit-test-user@domain.com from login with admin =\\u003e false, extern_uid =\\u003e exploit-test-user"}
Ако видите такъв лог, следвайте съветника тук.
-
-
-
-
-
