Nhà nghiên cứu phát hiện lỗ hổng của GitLab được thưởng 20.000 USD

Được phát hiện bởi William "vakzz" Bowling, một lập trình viên và người luôn đi săn tìm lỗ hổng. Lỗ hổng này được tiết lộ riêng thông qua nền tảng chương tình phát hiện lỗi trao thưởng HackerOne mới đây.

Bowling cho biết chức năng UploadsRewriter của GitLab, được sử dụng để sao chép các tệp (file), là nguồn gốc của vấn đề bảo mật nghiêm trọng này.

Chức năng này thực hiện kiểm tra các tên tệp và đường dẫn khi các lỗi được sao chép trong toàn bộ các dự án. Tuy nhiên, đã không có kiểm tra xác thực tại chỗ, dẫn đến một path traversal (còn có tên gọi khác là directory traversal) là một dạng tấn công cho phép tin tặc truy cập được các thư mục và tệp tài nguyên nằm ngoài thư mục hiện hành có thể bị khai thác để sao chép bất kỳ tệp nào.

Cũng theo lập trình viên Bowling, nếu bị một kẻ tấn công khai thác, lỗ hổng này có thể được vũ khí hóa để "đọc các tệp tùy ý trên máy chủ, bao gồm các mã thông báo, dữ liệu riêng tư, và cấu hình".

Các phiên bản GitLab và tên miền GitLab.com đã bị ảnh hưởng bởi lỗ hổng bảo mật này, được đánh giá mức nghiêm trọng trên HackerOne.

Cùng ngày với tiết lộ lỗ hổng này, nhóm bảo mật GitLab đã quyết định trao cho Bowling phần thưởng 1.000 USD khi đã thực hiện việc phân loại lỗi.

Khi việc phân loại lỗi được thực hiện, Bowling cho biết thêm lỗi có thể được chuyển thành một cuộc tấn công thực thi mã từ xa bằng cách sử dụng lỗi đọc tệp tùy ý để lấy thông tin từ dịch vụ khoá bí mật (secret_key_base) của GitLab. Nếu kẻ tấn công thay đổi khoá bí mật riêng để khớp với dự án, các dịch vụ cookie cũng có thể bị thao túng để kích hoạt thực thi mã từ xa.

Lỗ hổng nàyđã được gửi đến nhóm kỹ thuật của GitLab, nhóm đã tái tạo lại lỗ hổng. Đồng thời nhóm nghiên cứu lưu ý rằng một kẻ tấn công sẽ cần phải ở vị trí một thành viên dự án - ở mức tối thiểu - để khai thác lỗ hổng này, chúng chia sẻ cũng có thể chỉ cần "lập dự án/nhóm của riêng mình để thực hiện khai thác này", theo Heinrich Lee Yu, một kỹ sư cao cấp tại GitLab.

Lỗ hổng hiện đã được giải quyết trong phiên bản GitLab 12.9.1, với tiền thưởng vừađược trao đầy đủ cho nhà nghiên cứu. Báo cáo công khai về lỗ hổng này cũng được công bố vào ngày 27/4.

4 tháng trước, nhà nghiên cứu Bowling cũng đã tiết lộ một lỗi trong API tìm kiếm của GitLab, cho phép các cờ bổ sung được đưa vào lệnh git, có khả năng dẫn đến việc hình thành các khóa được tạo ra thủ công, truy cập và thực thi mã từ xa. GitLab đã nhận thấy vấn đề này và đã trao cho Bowling 12.000 USD tiền thưởng cho báo cáo lỗi nghiêm trọng này.

Johnathan Hunt, Phó Chủ tịch phụ trách bảo mật tại GitLab cho biết: "Chúng tôi rất biết ơn các những người đã phát hiện và báo cáo lỗi bảo mật như lập trình viên Bowling, người có trách nhiệm tiết lộ các lỗ hổng thông qua chương trình trao thưởng cho những lỗi của chúng tôi. Sau khi được tiết lộ cho Nhóm bảo mật GitLab, lỗi cụ thể này đã nhanh chóng được khắc phục và công khai 30 ngày sau khi bản vá được phát hành".

Đôi nét về GibtLab

GitLab khá nổi tiếng và là một mã nguồn mở của máy chủ Git được thực hiện bởi hơn 50.000 tổ chức. Trong vài năm gần đây Gitlab đã phát triển mạnh mẽ với sự hỗ trợ của cộng đồng mạng, hàng nghìn người sử dụng trên một máy chủ duy nhất hoặc một số máy chủ hoạt động tương tự. Nếu bạn cần thiết lập một máy chủ Git, thì GitLab cung cấp cho bạn một giải pháp hoàn hảo.

Gitlab là một hệ thống self-hosted để quản lý mã nguồn của bạn. Bản đầu tiên được phát hành vào tháng 10/2011 và được cập nhật vào ngày 22 hàng tháng. Gitlab được phát hành theo tiêu chuẩn của MIT.

Gitlab được Dmitriy Zaporozhets thành lập năm 2013. Dự án bao gồm hai nhóm chính: một bên là "open source core team" và một bên là "GitLab B.V. team" (chi nhánh của công ty Gitlab).