Kritische SAML-Anmelde-Lücke mit Höchstwertung gefährdet Gitlab-Server

Admins von selbst gehosteten Gitlab-Instanzen sollten ihre Server zügig auf den aktuellen Stand bringen. Aufgrund einer "kritischen" Sicherheitslücke sind unter Umständen Zugriffe ohne Anmeldung möglich.

Die Sicherheitslücke

In einer Warnmeldung führen die Entwickler aus, dass Cloud-Instanzen von Gitlab bereits abgesichert sind. Die Lücke (CVE-2024-45409) ist mit dem höchstmöglichen CVSS-Wert 10 von 10 eingestuft. Sie bedroht aber ausschließlich Systeme, bei denen die SAML-Authentifizierung aktiv ist.

Ist das der Fall, können Angreifer die Anmeldung umgehen und auf Instanzen zugreifen. Das Problem ist, dass die Ruby-SAML-Bibliothek in bestimmten Versionen Signaturen von SAML-Responses nicht ordnungsgemäß überprüft. An diese Stelle können Angreifer mit Zugriff auf ein signiertes SAML-Dokument Responses fälschen.

Schutzmaßnahmen

Aufgrund der kritischen Einstufung ist davon auszugehen, dass Systeme im Anschluss als vollständig kompromittiert gelten. Dementsprechend raten die Gitlab-Entwickler zu einem sofortigen Update. Können Admins die verfügbaren abgesicherten Versionen nicht umgehend installieren, sollten sie Instanzen mittels einer Übergangslösung vor Attacken schützen.

Dafür müssen sie für alle Nutzeraccounts die Zwei-Faktor-Authentifizierung von Gitlab aktivieren und die Option "SAML two-factor bypass" darf nicht aktiv sein. Die Entwickler geben an, dass die folgenden Ausgaben gegen die geschilderte Attacke gerüstet sind:

• 16.11.10
• 17.0.8
• 17.1.8
• 17.2.7
• 17.3.3

Ob Systeme bereits attackiert wurden, können Admins unter anderem in Logdateien application_json und auth_json prüfen. Weitere Hinweise finden Admins in der Warnmeldung. Außerdem bietet Gitlab Erkennungsregeln im Sigma-Format an.

Erst vergangene Woche haben die Gitlab-Entwickler viele Sicherheitspatches veröffentlicht.

(des)