การเผยแพร่ช่องโหว่ Authentication Bypass ระดับ Critical ใน GitLab (CVE-2024-45409)

หากคุณใช้งาน GitLab แบบ Self-Managed และตั้งค่าการ authentication แบบ SAML-based แต่ยังไม่ได้อัปเกรดตั้งแต่กลางเดือนกันยายน ขอแนะนำให้ทำการอัปเกรดทันที เนื่องจากนักวิจัยด้านความปลอดภัยได้เผยแพร่การวิเคราะห์ช่องโหว่ CVE-2024-45409 และสคริปต์สำหรับโจมตีที่อาจช่วยให้ผู้ไม่หวังดีสามารถเข้าถึงบัญชีผู้ใช้งานต่าง ๆ บน GitLab ได้

รายละเอียด CVE-2024-45409

GitLab เป็นแพลตฟอร์มการพัฒนาซอฟต์แวร์ที่ได้รับความนิยมซึ่งสามารถติดตั้งโดยผู้ใช้บนเซิร์ฟเวอร์ภายในองค์กร, Kubernetes หรือผ่านผู้ให้บริการคลาวด์ได้

CVE-2024-45409 เป็นช่องโหว่ Authentication Bypass ความรุนแรงระดับ Critical ในไลบรารี Ruby-SAML และ OmniAuth-SAML ซึ่งถูกใช้ในหลายเวอร์ชันของ GitLab Community Edition (CE) และ Enterprise Edition (EE)

ช่องโหว่นี้มีผลกระทบกับ OmniAuth-SAML เวอร์ชันก่อน 2.2.1 และ Ruby-SAML เวอร์ชันก่อน 1.17.0 และได้รับการแก้ไขในเวอร์ชัน 17.3.3, 17.2.7, 17.1.8, 17.0.8, และ 16.11.10 ของ GitLab CE และ EE

การแก้ไขช่องโหว่นี้ได้รับการ backported ไปยังเวอร์ชันเก่าของ GitLab ด้วย ได้แก่ 16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1.8 และ 16.0.10

ในขณะนั้น GitLab Inc.

กลุ่มแฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ SSRF บน Ivanti เพื่อติดตั้ง DSLog backdoo

กลุ่มแฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ server-side request forgery (SSRF) บน Ivanti Connect Secure, Policy Secure และ ZTA gateways ในการติดตั้ง DSLog backdoor ใหม่บนอุปกรณ์เหยื่อ

ช่องโหว่นี้มีหมายเลข CVE-2024-21893 ถูกเปิดเผยครั้งแรกในรูปแบบ Zero-Day ที่กำลังถูกใช้ในการโจมตีในวันที่ 31 มกราคม 2024 พร้อม ๆ กับการอัปเดตความปลอดภัย และวิธีการรับมือกับภัยคุกคามจาก Ivanti

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ SAML component (Security Assertion Markup Language) ซึ่งทำให้แฮ็กเกอร์สามารถข้ามขั้นตอนในการยืนยันตัวตน (Bypass authentication) และสามารถเข้าถึงข้อมูลที่ถูกควบคุมไว้ได้บน Ivanti gateways เวอร์ชัน 9.x และ 22.x

การอัปเดตที่สามารถแก้ไขช่องโหว่นี้ได้คือ Ivanti Connect Secure เวอร์ชัน 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 และ 22.5R2.2, Ivanti Policy Secure เวอร์ชัน 22.5R1.1 และ ZTA เวอร์ชัน 22.6R1.3

ในวันที่ 5 กุมภาพันธ์ 2024 Shadowserver ผู้ให้บริการเฝ้าระวังภัยคุกคามทางไซเบอร์ออกมารายงานว่า พบกลุ่มแฮ็กเกอร์หลายกลุ่มพยายามที่จะโจมตีโดยใช้ช่องโหว่นี้ โดยที่บางกลุ่มใช้ PoC หรือ proof-of-concept ซึ่งถูกเปิดเผยโดย Rapid7 ในการโจมตี ทั้งนี้ยังไม่มีรายงานในส่วนของอัตราความสำเร็จของการโจมตี ณ ช่วงเวลานั้น

รายงานฉบับใหม่จาก Orange Cyberdefense ออกมายืนยันถึงความสำเร็จของการโจมตีช่องโหว่ CVE-2024-21893 สำหรับการติดตั้ง backdoor ตัวใหม่ที่มีชื่อว่า DSLog ซึ่งทำให้กลุ่มแฮ็กเกอร์สามารถ execute คำสั่งจากระยะไกล บนเครื่อง Ivanti เซิร์ฟเวอร์ที่ถูกโจมตีได้

Orange ยังระบุเพิ่มเติมว่าสังเกตพบ backdoor ตัวใหม่นี้ในครั้งแรก ตั้งแต่วันที่ 3 กุมภาพันธ์ 2024 หลังจากวิเคราะห์ อุปกรณ์ที่ถูกโจมตี ซึ่งได้ดำเนินการลดผลกระทบด้วย XML mitigation ตามที่ Ivanti แนะนำ (บล็อก API endpoints ทั้งหมด) แต่ยังไม่ได้อัปเดตแพตซ์

DSLog backdoor

จากการตรวจสอบ Log บนอุปกรณ์ Ivanti ที่ถูกโจมตีแล้วนั้น กลุ่มนักวิจัยจาก Orange พบ backdoor ถูกป้อนคำสั่งเพิ่มเติมใส่ code บนอุปกรณ์ โดยการขอยืนยันตัวตนผ่าน SAML ซึ่งประกอบด้วยหลายคำสั่งภายในที่ถูก encoded ไว้แล้ว

ซึ่งคำสั่งเหล่านี้นั้นสามารถถูกเรียกใช้งานเพื่อเปิดเผยข้อมูลของระบบภายใน และทำให้สามารถเข้าถึงไฟล์ได้จากภายนอก (index2.txt) แสดงให้เห็นว่าจุดประสงค์ของแฮ็กเกอร์คือการเก็บ และรวบรวมข้อมูลภายในก่อนการโจมตี และยืนยันได้ว่าถูกเข้าถึงสิทธิ์ Root แล้ว

ภายใต้คำสั่งผ่านระบบ SAML นั้นแสดงให้เห็นถึงการพยายามที่จะรักษาความปลอดภัยสิทธิ์การอ่าน/เขียนระบบไฟล์บนอุปกรณ์ที่ถูกโจมตี, การตรวจจับการแก้ไข logging script อย่างถูกต้อง (DSLog.

Palo Alto Network ออกเเพตซ์แก้ไขช่องโหว่ที่มีความรุนเเรงระดับ “Critical” ในระบบปฏิบัติการ PAN-OS

Palo Alto Network ได้เปิดเผยถึงช่องโหว่ที่มีความรุนเเรงระดับ “Critical” ซึ่งช่องโหว่นั้นอยู่บนระบบปฏิบัติการ PAN-OS ใน Next-Generation Firewall โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้ทำการตรวจสอบสิทธิ์สามารถทำการ Bypass การตรวจสอบสิทธิ์ได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-2021 (CVSSv3: 10/10) โดยช่องโหวนั้นอยู่ในฟีเจอร์การตั้งค่าของ PAN-OS ในระบบการตรวจสอบ Security Assertion Markup Language (SAML) Authentication ซึ่งจะทำให้ผู้โจมตีสามารถทำการ Bypass การตรวจสอบสิทธิ์และเข้าถึงอุปกรณ์ได้

ช่องโหว่นี้มีผลกระทบกับ PAN-OS 9.1 รุ่นก่อนหน้าเวอร์ชั่น 9.1.3, PAN-OS 9.0 รุ่นก่อนหน้าเวอร์ชัน 9.0.9, PAN-OS 8.1 รุ่นก่อนหน้าเวอร์ชัน 8.1.15 และ PAN-OS 8.0 (EOL) ทุกรุ่น โดยช่องโหว่นี้ไม่มีผลกับ PAN-OS 7.1

Palo Alto Network กล่าวว่าอุปกรณ์และระบบที่มีความเสี่ยงจากช่องโหว่นี้คือ GlobalProtect Gateway, GlobalProtect Portal, GlobalProtect Clientless VPN, Authentication and Captive Portal, Prisma Access systems และ PAN-OS Next-Generation Firewall (PA-Series และ VM-Series)

บริษัท Bad Packets กล่าวว่า Palo Alto (PAN-OS) เซิฟเวอร์ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตนั้นมีประมาณ 58,521 โฮสและมี 4,291 โฮสที่ทำการใช้ SAML Authentication ในการตรวจสอบสิทธิ์ ซึ่งมีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ดังกล่าว

United States Cyber ​​Command ได้ออกมาเตือนบน Twitter ว่ากลุ่ม APT ต่างๆ กำลังพยายามใช้ประโยชน์จากช่องโหว่นี้และได้เเนะนำผู้ใช้งานหรือผู้ดูแลระบบทำการอัพเดตเเพตซ์ให้เป็นเวอร์ชันใหม่ล่าสุด

คำเเนะนำ
Palo Alto Network ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูแลระบบให้ทำการอัพเดตเเพตซ์และทำการติดตั้ง PAN-OS เป็น PAN-OS 9.1.3, PAN-OS 9.0.9 และ PAN-OS 8.1.15 โดยเร็วที่สุดเพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว

ที่มา:

bleepingcomputer
zdnet