GitLab เผยแพร่การแก้ไขช่องโหว่ที่ร้ายแรงจากการบายพาสการตรวจสอบสิทธิ์ SAML

สรุปข้อมูล 

GitLab อัปเดตการแก้ไขช่องโหว่ที่ร้ายแรงจากการ Bypass การตรวจสอบสิทธิ์ SAML ซึ่งส่งผลกระทบต่อการติดตั้ง GitLab Community Edition (CE) และ Enterprise Edition (EE) แบบ self-managed ซึ่งช่องโหว่ CVE-2024-45409 เกิดจากการที่ปัญหาในไลบรารี OmniAuth-SAML และ Ruby-SAML ซึ่งใช้ในการตรวจสอบสิทธิ์ โดย SAML (Security Assertion Markup Language) เป็นโปรโตคอลการตรวจสอบสิทธิ์การลงชื่อเข้าใช้ครั้งเดียว (SSO) ที่อนุญาตให้ผู้ใช้เข้าสู่ระบบบริการต่าง ๆ โดยใช้ข้อมูลประจําตัวเดียวกัน

ช่องโหว่นี้ได้รับการแก้ไขใน GitLab เวอร์ชัน 17.3.3, 17.2.7, 17.1.8, 17.0.8 และ 16.11.10 โดย OmniAuth SAML ได้รับการอัปเกรดเป็นเวอร์ชัน 2.2.1 และ Ruby-SAML เป็น 1.17.0 ทาง GitLab แนะนำให้อัปเกรดเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด สําหรับผู้ที่ไม่สามารถอัปเกรดเป็นเวอร์ชันที่ปลอดภัยได้ทันที GitLab แนะนําให้เปิดใช้งานการตรวจสอบสิทธิ์แบบ 2FA สําหรับทุกบัญชีและตั้งค่า bypass option ของ SAML 2FA เป็น do not allow (ไม่อนุญาต)

รายละเอียดการโจมตี 

แม้ว่าทาง GitLab ไม่ได้ระบุว่าช่องโหว่ CVE-2024-45409 เคยถูกใช้ประโยชน์มาก่อน แต่มีข้อสังเกตที่ว่าหากผู้ไม่ประสงค์ดีพยายามใช้ประโยชน์ ดังนี้

• ข้อผิดพลาดที่เกี่ยวข้องกับ RubySaml::ValidationError (ความพยายามที่ไม่สำเร็จ)
  
• พบค่า extern_uid ใหม่หรือผิดปกติในบันทึกการตรวจสอบสิทธิ์ (ความพยายามสำเร็จ)
  
• มีข้อมูลที่ขาดหายไปในการตอบสนองของ SAML หรือข้อมูลที่ไม่ถูกต้อง
  
• พบค่า extern_uid หลายค่าสำหรับผู้ใช้รายเดียว (ระบุถึงความเสี่ยงต่อการถูกบุกรุกบัญชี)
  

รูปที่ 1 ตัวอย่าง Log การแสวงประโยชน์ที่สำเร็จ

ผลกระทบจากการโจมตี 

ผลกระทบจากการใช้ประโยชน์ของช่องโหว่ CVE-2024-45409 ทำให้ผู้ไม่ประสงค์ดีสามารเข้าถึงบัญชีผู้ใช้งานและข้อมูลโดยไม่ได้รับอนุญาต ซึ่งผู้ไม่ประสงค์ดีอาจนำบัญชีหรือข้อมูลจากการละเมิดไปใช้ในการแสวงหาผลประโยชน์ในทางที่ผิดหรือการพยายามแทรกซึมไปยังแต่ละระบบหรือบัญชีผู้ใช้รายอื่น (Lateral Movement) เกิดความเสียหายต่อเหยื่อได้

คำแนะนำในการป้องกัน 

1. อัปเกรด OmniAuth-SAML และ Ruby-SAML เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด
2. เปิดใช้งานการตรวจสอบสิทธิ์แบบ 2FA สําหรับทุกบัญชีและตั้งค่า bypass option ของ SAML 2FA เป็น do not allow (ไม่อนุญาต)
3. ตรวจสอบตามข้อสังเกตความผิดปกติที่เกี่ยวข้องกับ RubySaml::ValidationError และ extern_uid
   

แหล่งอ้างอิง 

hxxps[:]//www[.]bleepingcomputer[.]com/news/security/gitlab-releases-fix-for-critical-saml-authenticationbypass-flaw/