GitLab rješava sigurnosni problem koji je svakome dopuštao otimanje prilagođenih domena

Istraživač sigurnosti oteo je stotine GitLab domena u samo nekoliko sekundi iskorištavajući slabost u načinu na koji tvrtka obrađuje provjeru domene -- sigurnosni problem koji tvrtka sada ima fiksni.

GitLab, web-bazirani upravitelj git repozitorija koji programerima omogućuje praćenje i suradnju na izvornom kodu i razvoj projekata, također omogućuje korisnicima da ugoste vlastiti sadržaj i projekte s prilagođenom domenom Ime.

Ali tvrtka je rekla u sigurnosnoj obavijesti 5. veljače da nije izvršena provjera valjanosti kada je korisnik dodao prilagođenu domenu svojim GitLab računima.

U kratkom vremenu koje prilagođena domena ukazuje na nedavno izbrisani ili nezatražen GitLab repo koji će biti dodan kasnije, domena može biti oteta.

Edwin Foudil, istraživač sigurnosti poznat kao EdOverflow, crpio inspiraciju iz izvješće o grešci podnesen 1. veljače, koji je sadržavao kod za dokaz koncepta koji je naveo ranjive prilagođene domene koje su upućivale na GitLab.

GitLab je prvo izvješće označio informativnim, što prema na dokumentaciju znači da sadrži "korisne informacije, ali nisu jamčile trenutnu radnju ili popravak".

Budući da GitLab dopušta ukazivanje na neograničeni broj domena za jedno spremište, Foudil je mogao napišite kratku skriptu koja će naoružati taj početni kod, dopuštajući mu da masovno otme neograničeni broj domene.

"To je rezultiralo sa 700 otetih domena i poddomena u manje od jedne minute", rekao je za ZDNet. I ne samo to, svaka oteta domena spriječena je u stvaranju GitLab repozitorija s tom domenom.

To je bilo dovoljno da privuče pozornost GitLaba, a tvrtka je potvrdila da je Foudilovo "vrijedno izvješće" ono što je "potaknulo naš odgovor" u objavljivanju sigurnosne obavijesti manje od dan kasnije.

"Uspio sam eskalirati problem do točke kada ga je zapravo uzrokovao GitLab", rekao je Foudil. "GitLab je dopustio masovni nadzor domena prije nego što su uopće ukazale na GitLabovu IP adresu."

Foudilovo izvješće bilo je javno objavljen kasno u srijedu nakon tvrtke popravio grešku.

Foudil je također rekao da napad nije ograničen samo na domene koje bi njegova skripta mogla otkriti. Otimanje domena bilo je jednostavno poput struganja imena domena tisuća visoko rangiranih stranica.

Nakon preuzimanja domene, napadač može servirati bilo koji sadržaj koji želi na toj domeni.

"Podvizima nema kraja", rekao je Foudil. Dao je nekoliko primjera u kojima napadač može oteti poddomenu za čitanje i postavljanje kolačića na druga osnovna imena.

"Mogu čak i rudariti kriptovalute", rekao je.

Kathy Wang, direktorica sigurnosti u GitLabu, rekla je u telefonskom razgovoru ovog tjedna da je tvrtka preuzela odgovornost za sigurnosni problem. Dodala je da je nedostatak provjere domene "rasprostranjen problem u cijeloj industriji".

"Implementacija provjere domene je iznimka, a ne pravilo -- tako da mnogi dobavljači to još nisu učinili", rekla je.

GitLab je isključio značajku za dodavanje prilagođenih domena dok popravak ne bude dostupan. Tvrtka je rekla kako procjenjuje da će uvođenje popravka biti završeno do kraja mjeseca.