GitLab SAML身份验证绕过漏洞分析(CVE-2024-45409)<\/h1>

1. 漏洞概述<\/h2>
GitLab是一个广泛使用的开源仓库管理系统，支持SAML认证功能。该漏洞存在于Ruby-SAML库中，允许攻击者绕过SAML身份验证机制进行未经授权的访问。漏洞编号为CVE-2024-45409，影响GitLab的登录功能。<\/p>

2. SAML认证基础<\/h2>

2.1 SAML简介<\/h3>
SAML(Security Assertion Markup Language)是一种基于XML的开放标准，用于在身份提供者(IdP)和服务提供商(SP)之间交换身份验证和授权数据。<\/p>

2.2 SAML涉及实体<\/h3>

Principal(主体)<\/strong>: 通常代表用户\/浏览器终端<\/li>
IdP(身份提供商)<\/strong>: 负责进行身份认证，并将用户的认证信息和授权信息传递给SP<\/li>

SP(服务提供商)<\/strong>: 验证用户的认证信息，并授权用户访问指定的资源信息<\/li> <\/ul>
2.3 SAML认证流程<\/h3>

用户请求登录SP<\/li>
SP生成SAML请求，通过浏览器重定向发送给IdP<\/li>
IdP解析SAML请求并将用户重定向到认证页面<\/li>
用户在认证页面完成登录<\/li>
IdP生成SAML Response，通过对浏览器重定向发送给SP，其中包含SAML Assertion用于确定用户身份<\/li>
SP对SAML Response的内容进行检验<\/li>
检验通过后根据认证信息成功登录<\/li> <\/ol>
3. SAML Response结构分析<\/h2>
3.1 关键组件<\/h3>
SAML Response中包含SAML Assertion，其中Signature<\/code>标签是身份验证的核心：<\/p>
<ds:Signature><\/span> <\/span><\/span> <ds:SignedInfo><\/span> <\/span><\/span> <ds:CanonicalizationMethod<\/span> Algorithm=<\/span>"..."<\/span>\/><\/span> <\/span><\/span> <ds:SignatureMethod<\/span> Algorithm=<\/span>"..."<\/span>\/><\/span> <\/span><\/span> <ds:Reference<\/span> URI=<\/span>"#..."<\/span>><\/span> <\/span><\/span> <ds:Transforms><\/span> <\/span><\/span> <ds:Transform<\/span> Algorithm=<\/span>"..."<\/span>\/><\/span> <\/span><\/span> <\/ds:Transforms><\/span> <\/span><\/span> <ds:DigestMethod<\/span> Algorithm=<\/span>"..."<\/span>\/><\/span> <\/span><\/span> <ds:DigestValue><\/span>...<\/ds:DigestValue><\/span> <\/span> <\/span><\/span> <\/ds:Reference><\/span> <\/span><\/span> <\/ds:SignedInfo><\/span> <\/span><\/span> <ds:SignatureValue><\/span>...<\/ds:SignatureValue><\/span> <\/span> <\/span><\/span><\/ds:Signature><\/span> <\/span><\/span><\/code><\/pre>3.2 验证机制<\/h3> SP接收到SAML Response后会进行两次验证：<\/p> 签名验证<\/strong>:<\/p> SP使用IdP的公钥验证SignedInfo块上的签名<\/li> 对SignedInfo进行hash计算，并与公钥解密SignatureValue后的值进行对比<\/li> 如果签名有效，则确认IdP已签署该消息，并且该消息未被修改<\/li> <\/ul> <\/li> 摘要验证<\/strong>:<\/p> SP计算Assertion(删除Signature节点)的值，与DigestValue进行比较<\/li> 如果相同则断言没有被篡改<\/li> <\/ul> <\/li> <\/ol> 4. 漏洞原理分析<\/h2> 4.1 XPath节点选择问题<\/h3> GitLab使用Ruby-SAML库解析SAML Response时，通过\/\/ds:DigestValue<\/code>表达式获取DigestValue值。<\/p> XPath有三种节点选择方式：<\/p> \/ds:DigestValue<\/code>: 从根节点开始选择，直接指向第一个ds:DigestValue元素<\/li> .\/ds:DigestValue<\/code>: 从当前节点开始查找ds:DigestValue元素<\/li> \/\/ds:DigestValue<\/code>: 从文档中的任何位置选择节点，包括所有嵌套节点中查找<\/li> <\/ol> 4.2 漏洞利用方法<\/h3> 攻击者可以在SAML Response的最前面插入一个伪造的DigestValue节点：<\/p> 修改Assertion部分(如NameID等)的内容<\/li> 计算修改后的Assertion的哈希值作为新的DigestValue<\/li> 将新的DigestValue插入到Response的最前面<\/li> 保持Signature部分不变<\/li> <\/ol> 当SP验证时：<\/p> 签名验证：由于Signature未被修改，验证通过<\/li> 摘要验证：SP通过\/\/ds:DigestValue<\/code>获取到伪造的DigestValue，与修改后的Assertion哈希值匹配，验证通过<\/li> <\/ul> 4.3 实际攻击示例<\/h3> 在原始数据中加入samlp:Extensions<\/code>并将新的DigestValue值嵌入其中：<\/p> <samlp:Response><\/span> <\/span><\/span> <samlp:Extensions><\/span> <\/span><\/span> <ds:DigestValue><\/span>伪造的哈希值<\/ds:DigestValue><\/span> <\/span><\/span> <\/samlp:Extensions><\/span> <\/span><\/span> <\/span> <\/span><\/span><\/samlp:Response><\/span> <\/span><\/span><\/code><\/pre>5. 漏洞利用工具<\/h2> 可以使用Nuclei模板进行漏洞利用：<\/p> https:\/\/cloud.projectdiscovery.io\/?template=CVE-2024-45409&ref=blog.projectdiscovery.io <\/code><\/pre> 6. 修复方案<\/h2> Ruby SAML在后续版本中将\/\/ds:DigestValue<\/code>改为.\/ds:DigestValue<\/code>，修复了此漏洞。<\/p> 修复提交参考：<\/p> https:\/\/github.com\/SAML-Toolkits\/ruby-saml\/commit\/1ec5392 <\/code><\/pre> 7. 防御建议<\/h2> 及时更新GitLab和Ruby-SAML库到最新版本<\/li> 实施严格的SAML配置审查<\/li> 监控异常登录行为<\/li> 考虑实施多因素认证作为额外保护层<\/li> <\/ol>

GitLab SAML身份验证绕过漏洞分析(CVE-2024-45409)<\/h1>

1. 漏洞概述<\/h2> GitLab是一个广泛使用的开源仓库管理系统，支持SAML认证功能。该漏洞存在于Ruby-SAML库中，允许攻击者绕过SAML身份验证机制进行未经授权的访问。漏洞编号为CVE-2024-45409，影响GitLab的登录功能。<\/p>

2. SAML认证基础<\/h2>

2.1 SAML简介<\/h3> SAML(Security Assertion Markup Language)是一种基于XML的开放标准，用于在身份提供者(IdP)和服务提供商(SP)之间交换身份验证和授权数据。<\/p>

3. SAML Response结构分析<\/h2>

4. 漏洞原理分析<\/h2>

7. 防御建议<\/h2> 及时更新GitLab和Ruby-SAML库到最新版本<\/li> 实施严格的SAML配置审查<\/li> 监控异常登录行为<\/li> 考虑实施多因素认证作为额外保护层<\/li> <\/ol>

1. 漏洞概述<\/h2>
GitLab是一个广泛使用的开源仓库管理系统，支持SAML认证功能。该漏洞存在于Ruby-SAML库中，允许攻击者绕过SAML身份验证机制进行未经授权的访问。漏洞编号为CVE-2024-45409，影响GitLab的登录功能。<\/p>

2.1 SAML简介<\/h3>
SAML(Security Assertion Markup Language)是一种基于XML的开放标准，用于在身份提供者(IdP)和服务提供商(SP)之间交换身份验证和授权数据。<\/p>

7. 防御建议<\/h2>

及时更新GitLab和Ruby-SAML库到最新版本<\/li>
实施严格的SAML配置审查<\/li>
监控异常登录行为<\/li>
考虑实施多因素认证作为额外保护层<\/li> <\/ol>