Les pirates qui ont été visant à exploiter les utilisateurs par des attaques de piratage de session sur le gestionnaire - gitlab ce référentiel Git Web moderne ont été arrêtés dans leurs pistes en tant que société corrige le bug.
Détournement Bug et dommages potentiels pour les utilisateurs et gitlab ce
«S'il y avait une exploitation réussie au nom de l'attaquant, la vulnérabilité du système aurait pu engager une longue liste d'activités dommageables,” a déclaré Daniel Svartman qui a découvert le bug de retour en mai de cette année. Cependant, il ne pouvait pas divulguer les renseignements que cette semaine après gitlab ce patché le bug et a rassuré leurs utilisateurs la question a été fixé.
Si un attaquant a réussi dans leur tentative de forcer un-brutale compte, ils se donner la possibilité de gérer le compte, vider le code, effectuer des mises à jour des comptes ainsi que le potentiel remarquable de voler vos informations personnelles et les données sensibles dans les goûts de nouvelles versions de logiciels qui sont inédits au public. Il existe d'autres possibilités grâce à quoi l'exécution des mises à jour du code pourrait permettre à l'attaquant d'intégrer les logiciels malveillants dans ce.
Svartman avait remarqué quelque chose n'a pas été tout à fait raison quand il découvert que son jeton de session était dans son URL. Ainsi, tout ce qu'il avait à faire était de copier et coller le jeton à plusieurs reprises et autour du site pour sécuriser l'accès au tableau de bord du gitlab ce, Information sur le compte, d'autres projets individuels et en cours et même le code de site.
Ce ne fut pas le seul facteur inquiétant qui a suggéré quelque chose se tramait avec le site. Ayant des jetons de session exposés ouvertement, être visible dans l'URL, est en ce qui concerne assez, d'autant plus vivement le bug d'exposer lui-même. Cependant, il a été deuxième découverte de Svartman qui a confirmé son observation initiale: laboratoire gitlab ce fait usage de jetons de session privés persistants qui n'expirent pas. Ce que cela signifie est que si un attaquant était en mesure d'obtenir un accès au jeton de session d'un utilisateur, il ne serait pas fin. Cela est particulièrement bénéfique pour un attaquant comme telle technique pourrait les laisser en scène une semaine d'attaque ou des mois après qu'ils ont volé les informations, laissant la victime ignore et désemparés de l'intrusion.
Une autre caractéristique suspecte dopés l'intérêt de Svartman était que les jetons étaient seulement 20 Longs caractères, laissant sensibles à la force brute,. Compte tenu de la nature persistante et le niveau d'administration l'accès des jeton accordé aux utilisateurs le, il n'y avait pas de doute que ce fut un trou de sécurité qui se profile.
Bug Fixes Détournement gitlab ce
Il ne sait pas encore combien de temps la vulnérabilité était restée exposée aux utilisateurs avant d'être finalement fixé. Cependant, le chercheur souligne qu'il n'a pas été la première personne à mettre en évidence et de soulever la question à gitlab ce que des utilisateurs vus discuter de la même question sur les forums de soutien de l'entreprise.
Le plomb de sécurité à gitlab ce, Brian Neel, a souligné que l'utilisation des jetons privés de l'entreprise ne sont pas la question principale ici et est-il ni un problème sur son propre. Il a continué à élaborer:
« Ce n'est pas quelque chose qui peut être exploitée directement. L'existence de jetons privés devient un problème lorsqu'il est combiné avec un cross-site scripting ou autre vulnérabilité. En général, un compte avec un jeton privé est à risque plus de compromis que si les jetons n'existaient pas, à moins qu'une autre vulnérabilité est mis à profit pour voler le jeton. La plupart des services Web modernes prennent en charge le concept d'un jeton privé: AWS a des touches d'accès / secrets, GitHub a des jetons d'accès, Numérique océan a des jetons, etc. La seule différence réelle entre leurs jetons et nos jetons privés est qu'ils sont limités à l'API et généralement cryptées. Nous soutenons ces deux options avec des jetons d'accès personnels. Gitlab c'est actuellement l'élimination progressive des jetons privés en faveur des jetons d'accès personnels « .
gitlab ce, d'autre part, a également commencé à remplacer des jetons privés avec des jetons personnalisés RSS pour aller chercher flux RSS. Cette initiative a été mis en place pour veiller à ce qu'aucun ID de session sont divulgués. jetons d'accès personnels sont de plus en plus employés par gitlab ce qui offrirait des contrôles d'accès basés sur les rôles, ainsi renforcer les mesures de sécurité et.