Gli aggressori che miravano a sfruttare gli utenti attraverso attacchi sessione di dirottamento su GitLab - la moderna web-based Git repository manager sono stati fermati nella loro tracce come azienda corregge il bug.
Dirottamento di bug e danni potenziali per GitLab e utenti
“Se ci fosse un successo exploit per conto dell'attaccante, la vulnerabilità all'interno del sistema avrebbe potuto avviare un ampio elenco di attività dannose,” ha detto Daniel Svartman che ha scoperto il bug nel maggio di quest'anno. Tuttavia, non riusciva a divulgare le informazioni fino a questa settimana dopo GitLab patchato il bug e rassicurato i propri utenti il problema è stato risolto.
Se un attaccante ha avuto successo nel loro tentativo di forza bruta di un account, avrebbero concedersi la possibilità di gestire l'account, scaricare il codice, eseguire gli aggiornamenti al bilancio, nonché il potenziale notevole di rubare le informazioni personali e dati sensibili del calibro di nuove versioni del software che sono inediti al pubblico. Ci sono altre possibilità in base alle quali l'esecuzione di aggiornamenti al codice potrebbe consentire l'attaccante di incorporare qualsiasi malware in esso.
Şvarţman aveva notato qualcosa non andava quando ha scoperto che il suo token di sessione era nel suo URL. Così, tutto quello che doveva fare era di copiare e incollare più volte gettone e in tutto il sito web per garantire l'accesso al cruscotto della GitLab, Informazioni account, altri progetti aziendali individuali e in corso e persino il codice del sito.
Questo non è stato l'unico fattore preoccupante che ha suggerito che stava succedendo qualcosa con il sito. Avendo token di sessione esposti così apertamente, essendo visibile nell'URL, è relativa abbastanza, più in modo così vivido esponendo il bug in sé. Tuttavia, era seconda scoperta di Şvarţman che ha confermato la sua osservazione iniziale: GitLab laboratorio si avvale di persistenti token di sessione privati che non scadono. Ciò significa che se un utente malintenzionato in grado di garantire l'accesso al token di sessione di un utente, non sarebbe scadenza. Questo è specificamente vantaggioso per un attaccante come tale tecnica potrebbe lasciarli in scena un attacco settimane o mesi dopo che hanno rubato le informazioni, lasciando la vittima ignara e senza tracce dell'intrusione.
Un'altra caratteristica sospetto che a spillo interesse di Şvarţman era che i gettoni sono stati solo 20 caratteri, lasciando il suscettibile di bruta forzatura. Data la natura persistente dei token e il livello di accesso amministratore della concessi per gli utenti, non vi era alcun dubbio che questo era un buco di sicurezza che incombe.
GitLab Correzioni Hijacking Bug
Non si sa ancora per quanto tempo la vulnerabilità era rimasto esposto per gli utenti prima di essere finalmente risolto. Tuttavia, il ricercatore fa notare che non era il primo individuo di evidenziare e portare la questione a GitLab che gli utenti visto discutere lo stesso problema sul forum di supporto della società.
Piombo Sicurezza a GitLab, Brian Neel, ha evidenziato che l'uso di token privati della società non è il problema principale qui e non è nemmeno un problema da solo. Ha continuato ad elaborare:
“Questo non è qualcosa che può essere sfruttata direttamente. L'esistenza di gettoni privata diventa un problema solo quando combinato con un cross-site scripting o altre vulnerabilità. Parlando in generale, un conto con un token privata è a non più rischio di compromissione che se non esistessero i gettoni, a meno che un'altra vulnerabilità è sfruttata per rubare il token. La maggior parte dei servizi web moderni supportano il concetto di un gettone privata: AWS ha accesso chiavi segrete /, GitHub ha token di accesso, Ocean Digital ha gettoni, etc. L'unica vera differenza tra i loro gettoni ei nostri gettoni privati è che essi si limitano alle API e tipicamente criptati. Sosteniamo entrambe queste opzioni con il token di accesso personali. GitLab sta progressivamente eliminando i gettoni privati a favore di token di accesso personali.”
GitLab, d'altronde, ha anche iniziato a sostituire i token privati con gettoni RSS personalizzato per il recupero feed RSS. Questa iniziativa è stata messa in atto per garantire che nessun ID di sessione sono trapelate. token di accesso personali sono anche sempre più impiegati da GitLab che offrirebbe controlli di accesso basati sui ruoli, aumentando così le misure di sicurezza come pure.
