Os invasores que tinham como objetivo explorar os usuários por meio de ataques de sequestro de sessão no GitLab - o gerenciador de repositório Git moderno baseado na web foram parados enquanto a empresa corrigia o bug.
Bug de sequestro e danos potenciais para GitLab e usuários
“Se houve uma exploração bem-sucedida em nome do invasor, a vulnerabilidade dentro do sistema pode ter iniciado uma extensa lista de atividades prejudiciais,” disse Daniel Svartman, que descobriu o bug em maio deste ano. Contudo, ele não poderia divulgar as informações até esta semana, depois que o GitLab corrigiu o bug e garantiu aos usuários que o problema foi corrigido.
Se um invasor teve sucesso em sua tentativa de força bruta em uma conta, eles se concederiam a capacidade de gerenciar a conta, despejar o código, realizar atualizações nas contas, bem como o notável potencial de roubo de suas informações pessoais e dados confidenciais, como novas versões de software que não são divulgadas ao público. Existem outras possibilidades pelas quais a execução de atualizações do código pode permitir que o invasor incorpore qualquer malware a ele.
Svartman notou que algo não estava certo quando ele descoberto que seu token de sessão estava em seu URL. portanto, tudo o que ele precisava fazer era copiar e colar o token várias vezes e em todo o site para proteger o acesso ao painel do GitLab, Informação da conta, outros projetos individuais e em andamento da empresa e até mesmo o código do site.
Este não foi o único fator preocupante que sugeriu que algo estava acontecendo com o site. Ter tokens de sessão expostos tão abertamente, sendo visível no URL, é preocupante o suficiente, mais vividamente expondo o próprio bug. Contudo, foi a segunda descoberta de Svartman que confirmou sua observação inicial: O laboratório GitLab usa tokens de sessão privada persistentes que não expiram. O que isso significa é que se um invasor conseguir proteger o acesso ao token de sessão de um usuário, não iria expirar. Isso é especialmente benéfico para um invasor, pois essa técnica pode permitir que ele realize um ataque semanas ou meses depois de ter roubado as informações, deixando a vítima inconsciente e sem noção da intrusão.
Outra característica suspeita que despertou o interesse de Svartman foi que os tokens eram apenas 20 caracteres longos, deixando o suscetível a força bruta. Dada a natureza persistente do token e o acesso de nível de administrador concedido aos usuários, não havia dúvida de que se tratava de uma falha de segurança iminente.
GitLab corrige bug de sequestro
Ainda não se sabe por quanto tempo a vulnerabilidade permaneceu exposta aos usuários antes de ser finalmente corrigida. Contudo, o pesquisador aponta que ele não foi o primeiro indivíduo a destacar e apresentar o problema ao GitLab, tendo visto usuários discutindo o mesmo assunto nos fóruns de suporte da empresa.
Líder de segurança no GitLab, Brian Neel, destacou que o uso de tokens privados pela empresa não é o principal problema aqui e nem é um problema por si só. Ele continuou a elaborar:
“Isso não é algo que pode ser explorado diretamente. A existência de tokens privados só se torna um problema quando combinada com um script entre sites ou outra vulnerabilidade. De um modo geral, uma conta com um token privado não corre mais risco de comprometimento do que se os tokens não existissem, a menos que outra vulnerabilidade seja aproveitada para roubar o token. A maioria dos serviços da web modernos oferece suporte ao conceito de token privado: AWS tem acesso / chaves secretas, GitHub tem tokens de acesso, O oceano digital tem tokens, etc. A única diferença real entre seus tokens e nossos tokens privados é que eles são limitados à API e normalmente criptografados. Oferecemos suporte a ambas as opções com tokens de acesso pessoais. O GitLab está atualmente eliminando os tokens privados em favor dos tokens de acesso pessoais. ”
GitLab, por outro lado, também começou a substituir tokens privados por tokens RSS personalizados para buscar feeds RSS. Esta iniciativa foi implementada para garantir que nenhum ID de sessão vaze. Os tokens de acesso pessoal também estão sendo cada vez mais empregados pelo GitLab, que ofereceria controles de acesso baseados em funções, aumentando, assim, as medidas de segurança também.
