GitLab, hem Community Edition (CE) hem de Enterprise Edition (EE) kullanıcılarını etkileyen kritik bir güvenlik açığını düzeltmek amacıyla acil yamalar yayınladı. Bu güvenlik açığı, kimlik doğrulama atlamasına neden olabilecek bir sorun olarak dikkat çekiyor. Açık, ruby-saml kütüphanesinde bulunuyor ve CVE-2024-45409 koduyla tanımlanıyor. Güvenlik açığının CVSS puanı 10.0 olarak belirlenmiş, bu da güvenlik riski açısından en yüksek seviyeyi temsil ediyor. Geçtiğimiz hafta GitLab bakımcıları bu güvenlik açığını düzeltmek için gerekli yamaları yayımladı.
Güvenlik açığı, ruby-saml kütüphanesinin SAML Yanıtlarının imzasını doğru bir şekilde doğrulamamasından kaynaklanıyor. SAML (Güvenlik İddiası İşaretleme Dili), çeşitli uygulama ve web siteleri arasında tek oturum açma (SSO) ve kimlik doğrulama verilerinin değişimini sağlayan bir protokoldür. Açık, kimlik sağlayıcı tarafından imzalanmış herhangi bir SAML belgesine erişim sağlayan kimliği doğrulanmamış bir saldırganın, keyfi içeriklere sahip bir SAML Yanıtı/İddiası oluşturmasına olanak tanıyor. Bu durum, saldırganın hedef alınan sistemde keyfi bir kullanıcı olarak oturum açmasına neden olabiliyor.
Bu güvenlik açığının sadece GitLab'ı etkilemekle kalmayıp, aynı zamanda omniauth-saml kütüphanesini de etkilediği belirtiliyor. Omniauth-saml, ruby-saml'ı 1.17 sürümüne güncelleyerek yeni bir sürüm (2.2.1) yayınlamıştı. GitLab, son yamalarında omniauth-saml bağımlılıklarını 2.2.1 sürümüne, ruby-saml bağımlılıklarını ise 1.17.0 sürümüne yükseltti. Bu güncellemeler, GitLab'ın 17.3.3, 17.2.7, 17.1.8, 17.0.8 ve 16.11.10 sürümlerini kapsıyor.
GitLab, kullanıcılarına hafifletici önlemler olarak tüm hesaplar için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmelerini ve SAML iki faktörlü baypas seçeneğine izin vermemelerini önerdi. Şu anda GitLab, bu açığın yaygın olarak kullanıldığına dair herhangi bir belirti bulunmadığını ancak tehdit aktörlerinin bu açıklardan yararlanarak hassas GitLab örneklerine erişmeye çalışabileceğini belirtiyor. Şirket, başarılı istismar girişimlerinin SAML ile ilgili günlük olaylarını tetikleyeceğini ve bu tür girişimlerin istismar girişiminde bulunan saldırgan tarafından ayarlanan extern_id değerini günlüğe kaydedeceğini ifade etti. Ayrıca, başarısız istismar girişimlerinin RubySaml kütüphanesinden bir ValidationError üretebileceğini, bunun da çeşitli nedenlerle olabilir.
Bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı'nın (CISA) Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna beş yeni güvenlik açığı eklemesinin ardından geldi. Bu beş güvenlik açığı arasında, Apache HugeGraph-Server'ı etkileyen ve aktif istismara dair kanıtlar içeren kritik bir hata (CVE-2024-27348, CVSS puanı: 9.8) da yer alıyor. Federal Sivil Yürütme Organı (FCEB) kurumlarına, ağlarını aktif tehditlere karşı korumak için tespit edilen güvenlik açıklarını 9 Ekim 2024 tarihine kadar gidermeleri tavsiye edildi.
GitLab ve diğer yazılım geliştiricileri, bu tür güvenlik açıklarının hızlı bir şekilde düzeltilmesi ve kullanıcıların güvenliğinin sağlanması için sürekli olarak çalışıyor. Kullanıcıların, yazılım güncellemelerini takip etmeleri ve güvenlik önlemlerini uygulamaları kritik öneme sahip.
