19 de septiembre de 2024Ravie LakshmananSeguridad empresarial / DevOps GitLab ha publicado parches para solucionar una falla crítica que afecta a Community Edition (CE) y Enterprise Edition (EE) que podría resultar en una omisión de autenticación. La vulnerabilidad tiene su raíz en la biblioteca ruby-saml (CVE-2024-45409, puntuación CVSS: 10.0), que podría permitir que un atacante inicie sesión como un usuario arbitrario dentro del sistema vulnerable. Los mantenedores la solucionaron la semana pasada. El problema es el resultado de que la biblioteca no verifica correctamente la firma de la respuesta SAML. SAML, abreviatura de Security Assertion Markup Language, es un protocolo que permite el inicio de sesión único (SSO) y el intercambio de datos de autenticación y autorización entre múltiples aplicaciones y sitios web. «Un atacante no autenticado con acceso a cualquier documento SAML firmado (por el IdP) puede así falsificar una Respuesta/Afirmación SAML con contenido arbitrario, según un aviso de seguridad. «Esto permitiría al atacante iniciar sesión como un usuario arbitrario dentro del sistema vulnerable». Vale la pena señalar que la falla también afecta a omniauth-saml, que envió una actualización propia (versión 2.2.1) para actualizar ruby-saml a la versión 1.17. El último parche de GitLab está diseñado para actualizar las dependencias omniauth-saml a la versión 2.2.1 y ruby-saml a la 1.17.0. Esto incluye las versiones 17.3.3, 17.2.7, 17.1.8, 17.0.8 y 16.11.10. Como mitigación, GitLab insta a los usuarios de instalaciones autogestionadas a habilitar la autenticación de dos factores (2FA) para todas las cuentas y deshabilitar la autenticación de dos factores (2FA) para todas las cuentas. La opción de omisión de dos factores de SAML. GitLab no menciona que la falla se esté explotando en la naturaleza, pero ha proporcionado indicadores de intentos de explotación o explotación exitosa, lo que sugiere que los actores de amenazas pueden estar tratando activamente de capitalizar las deficiencias para obtener acceso a instancias susceptibles de GitLab. «Los intentos de explotación exitosos activarán eventos de registro relacionados con SAML», dijo. «Un intento de explotación exitoso registrará cualquier valor de extern_id establecido por el atacante que intenta la explotación». «Los intentos de explotación fallidos pueden generar un ValidationError de la biblioteca RubySaml. Esto podría deberse a una variedad de razones relacionadas con la complejidad de crear un exploit funcional». El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó cinco fallas de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), incluido un error crítico recientemente revelado que afecta a Apache HugeGraph-Server (CVE-2024-27348, puntaje CVSS: 9.8), basado en evidencia de explotación activa. Se ha recomendado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que remedien las vulnerabilidades identificadas antes del 9 de octubre de 2024 para proteger sus redes contra amenazas activas. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.