Los atacantes que fueron el objetivo de explotar los usuarios a través de ataques de secuestro de sesión en GitLab - el administrador de repositorio Git moderna basada en la web se han parado en sus pistas como la empresa corrige el error.
Bug secuestro y daños potenciales para GitLab y Usuarios
“Si hubo un ataque exitoso en nombre del atacante, la vulnerabilidad del sistema podría haber iniciado una extensa lista de actividades perjudiciales,” dijo Daniel Svartman quien descubrió el fallo en mayo de este año. Sin embargo, que no podía revelar la información hasta esta semana después de GitLab parcheado el error y aseguró a sus usuarios el problema se solucionó.
Si un atacante tuvo éxito en su intento de ataque de fuerza bruta una cuenta, se otorgaría a sí mismos la capacidad de gestionar la cuenta, volcar el código, realizar cambios a las cuentas, así como el potencial notable de robar su información personal y datos sensibles en los gustos de nuevas versiones de software que son inéditas para el público. Hay otras posibilidades mediante el cual la ejecución de actualizaciones en el código podría permitir al atacante para incrustar cualquier malware en él.
Svartman había dado cuenta de que algo no estaba del todo bien cuando descubierto que su token de sesión estaba en su URL. Por lo tanto, todo lo que tenía que hacer era copiar y pegar el token varias veces y en todo el sitio web para asegurar el acceso a salpicadero del GitLab, Información de la cuenta, otros proyectos de la empresa individual y en curso e incluso el código del sitio.
Este no fue el único factor preocupante que sugería que algo estaba pasando con el sitio. Habiendo tokens de sesión expuestas abiertamente, siendo visibles en la URL, es preocupante lo suficientemente, más aún vívidamente exponer el fallo en si mismo. Sin embargo, fue segundo descubrimiento de Svartman que confirmó su observación inicial: GitLab laboratorio hace uso de tokens de sesión persistentes privados que no caducan. Lo que esto significa es que si un atacante capaz de asegurar el acceso a la señal de sesión de un usuario, no expirará. Esto es especialmente beneficioso para un atacante como una técnica de este tipo podría hacerles organizar un ataque semanas o meses después de que han robado la información, dejando a la víctima inconsciente y idea de la intrusión.
Otra característica sospechoso que disparó el interés de Svartman era que las fichas eran solamente 20 caracteres, dejando susceptibles a la fuerza bruta. Dada la naturaleza persistente de las fichas y el acceso a nivel de administrador del concedidos a los usuarios, no había duda de que se trataba de un agujero de seguridad que se avecina.
Bug GitLab Corrección de Secuestro
Todavía no se sabe cuánto tiempo la vulnerabilidad se había quedado expuesto a los usuarios antes de que finalmente fijado. Sin embargo, el investigador señala que él no era el primer individuo para resaltar y plantear la cuestión a los usuarios tener GitLab visto discutiendo el mismo tema en los foros de soporte de la compañía.
El plomo de Seguridad en GitLab, Brian Neel, destacó que el uso de fichas particulares de la compañía no es la cuestión principal aquí y tampoco es un problema en su propia. Luego pasó a elaborar:
“Esto no es algo que puede ser explotada directamente. La existencia de fichas privados sólo se convierte en un problema cuando se combina con un script de páginas web u otra vulnerabilidad. Generalmente hablando, una cuenta con un token privado está a no más riesgo de compromiso que si no existieran las fichas, a menos que otra vulnerabilidad se aprovecha para robar el token. La mayoría de los servicios web actuales son compatibles con el concepto de una muestra privada: AWS tiene acceso a las claves secretas /, GitHub tiene tokens de acceso, Océano Digital tiene fichas, etc. La única diferencia real entre sus fichas y las fichas privados es que se limitan a la API y típicamente codificadas. Apoyamos estas dos opciones con tokens de acceso personales. GitLab está retirando paulatinamente fichas privadas a favor de tokens de acceso personales “.
GitLab, Por otra parte, También ha comenzado a sustituir los tokens privadas con fichas RSS personalizados para ir a buscar los canales RSS. Esta iniciativa se ha puesto en marcha para garantizar que no hay identificadores de sesión se filtraron. tokens de acceso personales también se están empleando cada vez más por GitLab que ofrecería controles de acceso basados en roles, aumentando así las medidas de seguridad, así.
