Dringende Aufforderung für Admins
Die Administratoren selbst gehosteter Gitlab-Instanzen stehen unter Druck. Sie sollten ihre Server umgehend aktualisieren. Eine „kritische“ Sicherheitslücke ermöglicht möglicherweise unauthorisierte Zugriffe ohne vorherige Anmeldung.
Details zur Sicherheitslücke
Die Entwickler warnen - Cloud-Instanzen von Gitlab sind bereits geschützt. Diese Schwachstelle mit der Nummer CVE-2024-45409 erzielt die Höchstbewertung von 10 auf der CVSS-Skala. Betroffen sind jedoch nur Systeme, die welche SAML-Authentifizierung nutzen. Angreifer könnten in diesen Fällen die Anmeldung umgehen.
Das zugrunde liegende Problem liegt in der Ruby-SAML-Bibliothek. In bestimmten Versionen werden Signaturen von SAML-Antworten nicht korrekt geprüft. Bei Zugriff auf ein signiertes SAML-Dokument haben Angreifer die Möglichkeit, Antworten zu fälschen.
Empfohlene Schutzmaßnahmen
Die kritische Einstufung führt zu einer alarmierenden Schlussfolgerung. Systeme sind dadurch als vollständig kompromittiert zu betrachten. Gitlab-Entwickler empfehlen deshalb dringend ein sofortiges Update. Sollte ein sofortiges Update nicht möglich sein, müssen Administratoren alternative Schutzmaßnahmen berücksichtigen.
Hierfür ist es entscheidend, für alle Nutzerkonten die Zwei-Faktor-Authentifizierung von Gitlab zu aktivieren. Gleichzeitig muss die Option „SAML two-factor bypass“ deaktiviert bleiben.
Abgesicherte Versionen
Die Entwickler klären darüber auf, dass folgende Versionen gegen die bekannte Attacke gewappnet sind:
- 16.11.10
- 17.0.8
- 17.1.8
- 17.2.7
- 17.3.3
Überprüfung auf Angriffe
Administrator*innen können prüfen, ob ihre Systeme bereits angegriffen wurden. In den Logdateien • ebenso wie zum Beispiel application_json und auth_json • sollte nach verdächtigen Einträgen gesucht werden. Darüber hinaus finden sie weitere Hinweise in der offiziellen Warnmeldung. Gitlab stellt zudem Erkennungsregeln im Sigma-Format zur Verfügung.
Rückblick auf Sicherheitspatches
Es ist erwähnenswert, dass die Entwickler von Gitlab erst vor einer Woche eine Vielzahl von Sicherheitspatches veröffentlicht haben. Der Handlungsbedarf ist klar.
Kommentare