Angreifer, die dem Ziel wurden die Benutzer durch Session-Hijacking-Angriffe auf Gitlab zu nutzen - die moderne webbasierte Git-Repository-Manager haben in ihren Tracks gestoppt wurde als Unternehmen den Fehler behebt.
Hijacking Bug und mögliche Schäden für Gitlab und Benutzer
„Wenn es ein erfolgreich war ausbeuten im Namen des Angreifers, die Verwundbarkeit innerhalb des Systems könnte eine umfangreiche Liste von schädlichen Aktivitäten initiiert,” sagte Daniel Svartman die in diesem Jahr den Bug im Mai entdeckt. Jedoch, er konnte nicht die Informationen bis diese Woche bekannt geben, nachdem Gitlab den Fehler ausgebessert und beruhigt ihre Benutzer das Problem behoben wurde.
Wenn ein Angreifer war bei ihrem Versuch erfolgreich ein Konto Brute-Force, sie würden sich die Möglichkeit gewähren, um das Konto zu verwalten, Dump den Code, Einspielen von Updates auf die Konten sowie die bemerkenswerten Potenzial Ihrer persönlichen Informationen und sensiblen Daten in den Gleichen von neuen Versionen der Software des Diebstahls, die der Öffentlichkeit nicht freigegebene sind. Es gibt auch andere Möglichkeiten, wobei Aktualisierungen der Code ausgeführt wird, den Angreifer ermöglichen könnten jede Malware in sie einzubetten.
Şvarţman hatte bemerkt, etwas nicht ganz richtig war, als er entdeckt dass seine Session-Token war in seiner URL. So, alles, was er tun musste, war zu kopieren und die Token mehrmals und um die Website einfügen Zugriff auf die Gitlab Armaturenbrett zu befestigen, Kontoinformationen, andere individuelle und laufende Unternehmen Projekte und sogar Code der Website.
Dies war nicht der einzige beunruhigende Faktor, der etwas vorgeschlagen war mit der Seite nach oben. Nachdem Session-Token frei, so offen, sichtbar in der URL, ist über genug, mehr so ausgesetzt wird anschaulich den Fehler selbst. Jedoch, es war zweite Entdeckung des Şvarţman, die seine erste Beobachtung bestätigt: Gitlab Labor nutzt persistent privaten Session-Token, die nicht verfallen. Das bedeutet, dass, wenn ein Angreifer in der Lage war, den Zugang zu sichern, um einen Session-Token des Benutzers, es wäre nicht verfallen. Dies ist besonders vorteilhaft für einen Angreifer als eine solche Technik könnte sie einen Angriff Wochen oder Monate lassen die Bühne, nachdem sie die Informationen gestohlen haben, verlassen das Opfer nicht bewusst und ahnungslos des Eindringens.
Ein weiteres Feature, das verdächtig Şvarţman Interesse gespickt war, dass die Tokens waren nur 20 Zeichen lang, die anfällig verlassen Brute-Forcing. Angesichts der anhaltenden Natur-Token und das Admin-Level-Zugriff die den Benutzern gewährt, es gab keinen Zweifel, dass dies eine drohende Sicherheitslücke war.
Gitlab Fixes Hijacking Bug
Es ist noch nicht bekannt, wie lange die Anfälligkeit für Benutzer ausgesetzt geblieben war, bevor es endgültig fixiert wurde. Jedoch, Der Forscher weist darauf hin, dass er das gleiche Problem diskutieren, das Problem zu Gitlab gesehen Benutzer mit auf der Unternehmens-Support-Foren nicht die erste Person zu markieren, und bringen war.
Sicherheit Lead bei Gitlab, Brian Neel, hob hervor, dass die Nutzung von privaten Token des Unternehmens hier nicht das Hauptproblem ist und weder ist es ein Problem auf seinem eigenen. Er fuhr fort zu erarbeiten:
„Das ist nicht etwas, das direkt genutzt werden kann. Die Existenz von privaten Token wird nur ein Problem, wenn sie mit einem Cross-Site-Scripting oder anderer Verwundbarkeit kombiniert. Allgemein gesagt, ein Konto mit einem eigenen Token ist nicht mehr Gefahr des Kompromisses, als wenn die Token nicht existieren, es sei denn, eine andere Schwachstelle ist gehebelt das Token zu stehlen. Die meisten modernen Web-Services unterstützen das Konzept eines privaten Token: AWS hat Zugriff / geheime Schlüssel, GitHub hat Zugriffstoken, Digitaler Ozean hat Token, etc. Der einzige wirkliche Unterschied zwischen ihren Token und unseren privaten Token ist, dass sie auf die API begrenzt sind und in der Regel verschlüsselt. Wir unterstützen beide Optionen mit persönlichen Zugriffstoken. Gitlab ist derzeit privat Token für persönliche Zugriffstoken Phasing-out.“
Gitlab, andererseits, hat auch zum Abrufen von RSS-Feeds ersetzen private Token mit benutzerdefinierter RSS-Token gestartet. Diese Initiative wurde eingerichtet, um sicherzustellen, dass keine Session-IDs geleckt werden. Persönliche Zugriffstoken werden zunehmend auch von Gitlab eingesetzt, die rollenbasierte Zugriffskontrollen böte, damit die Förderung Sicherheitsmaßnahmen sowie.
