Vor kurzem gab GitHub die Entdeckung einer hochriskanten Sicherheitslücke in seinen Unternehmensservern bekannt, die alle Versionen von GitHub Enterprise Server Version und empfiehlt allen Anwendern dringend eine sofortige Aktualisierung, um die Bedrohung durch die Sicherheitslücke zu verhindern.
Details zur Schwachstelle
In GitHub Enterprise Server (GHES) besteht eine Authentifizierungsschwachstelle. Das Problem wird verfolgt als CVE-2024-4985(CVSS-Score: 10.0), die ausgenutzt werden kann, um eine SAML-Antwort zu fälschen, um einen Benutzer mit Site-Administrator-Rechten zu konfigurieren und/oder auf ihn zuzugreifen. Diese Schwachstelle, die alle Versionen von GitHub Enterprise Server vor 3.13.0 betrifft und in den Versionen 3.9.15, 3.10.12, 3.11.10 und 3.12.4 behoben wurde, kann ausgenutzt werden, um unbefugten Zugriff auf eine Instanz ohne vorherige Authentifizierung zu erhalten. Die Sicherheitslücke wird über die GitHub Bug Bounty Programmbericht.
betroffene Version
Die folgenden Versionen von GitHub Enterprise Server sind betroffen:
Versionen 3.0 bis 3.9 Das Vorhandensein risikoreicher Schwachstellen kann die Code-Basis eines Unternehmens, sensible Daten und Einsatzumgebungen ernsthaften Sicherheitsrisiken aussetzen.
Überprüfung der Schwachstellen:
Öffnen Sie das Tool für Penetrationstests (z.B.: burpsuite).
Erstellen Sie eine Netzwerkverbindungsanfrage.
Wählen Sie den Anfragetyp "GET".
Geben Sie die GHES-URL ein.
Fügen Sie der Anfrage einen gefälschten SAML-Assertion-Parameter hinzu. Ein Beispiel für einen gefälschten SAML-Assertion-Parameter finden Sie in der GitHub-Dokumentation.
Prüfen Sie die Antwort von GHES.
Wenn der HTTP-Statuscode in der Antwort 200 lautet, wurde die Authentifizierung mithilfe eines gefälschten SAML-Assertion-Parameters erfolgreich umgangen.
Wenn die Antwort einen anderen HTTP-Statuscode enthält, wurde die Authentifizierung nicht erfolgreich umgangen.
https://your-ghes-instance.com jdoe urn:oasis:names:tc:SAML:2.0:methodName:password </AuthnStatement Acme Corporation jdoe@acme.com </AttributeStatement
GitHub Offiziell:
GitHub hat einen Notfall-Sicherheitspatch veröffentlicht, um diese Sicherheitslücke zu schließen. Das Unternehmen empfiehlt allen Nutzern mit betroffenen Versionen dringend, so bald wie möglich auf die neueste Version zu aktualisieren, um die Sicherheit zu gewährleisten. Spezifische Aktualisierungsschritte und Patch-Downloads finden Sie auf der Seite "Security Bulletin" der offiziellen GitHub-Website.
Sicherheits-Upgrade
Um Ihr System vor potenziellen Angriffen zu schützen, werden die folgenden Schritte empfohlen: Aktualisieren Sie den GitHub Enterprise Server auf die neueste Version.
https://docs.github.com/en/enterprise-server@3.10/admin/release-notes#3.10.12
https://docs.github.com/en/enterprise-server@3.11/admin/release-notes#3.11.10
https://docs.github.com/en/enterprise-server@3.12/admin/release-notes#3.12.4
https://docs.github.com/en/enterprise-server@3.9/admin/release-notes#3.9.15
Wenn ein Update nicht sofort verfügbar ist, sollten Sie die SAML-Authentifizierungs- oder kryptografische Bestätigungsfunktion als vorübergehende Abhilfe deaktivieren.
Referenz:
https://github.com/absholi7ly/Bypass-authentication-GitHub-Enterprise-Server
https://nvd.nist.gov/vuln/detail/CVE-2024-4985
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/critical-github-enterprise-server-flaw-allows-authentication-bypass.html