Gitlab OAuth注册默认口令漏洞分析(CVE-2022-1162)

漏洞简述

3月30日,GitLab 官方修复了CE/EE版本产品中硬编码密码导致的接管用户账户的安全问题。

由于使用 OmniAuth 注册的代码逻辑中存在硬编码密码,导致账号可被攻击者直接登录。该漏洞受影响版本为 14.7.0 ~ 14.7.6,14.8.0 ~ 14.8.4,14.9.0 ~ 14.9.1,均为较高版本,且该漏洞依赖于开启 OmniAuth 注册登录(用于CAS等三方登录场景),整体对企业实际影响较小。

漏洞时间线

  • 3月22日,GitLab 表示到当天还未有用户帐户遭到破坏。
  • 3月30日,GitLab 修复了硬编码密码的问题。
  • 3月31日,GitLab 推出 14.9.2,14.8.5,14.7.7 三个安全版本。

漏洞分析

针对此次安全问题的修复 commit 将多处对Password.test_default 的调用修改为固定字符串,还删除了定义 test_default 方法的 lib/gitlab/password.rb 文件。

可见漏洞根源是 Password.test_default,这是在两个月前为了增加密码强度而引入的。从 password.rb 的注释得知其本意是为了测试构造出的强密码,但可能被误用于正常业务逻辑当中。

Gitlab OAuth注册默认口令漏洞分析(CVE-2022-1162)

通过 test_default 的引用分析可以发现,lib/gitlab/auth/o_auth/user.rb 中通过 OAuth 方式创建用户时设置了 21 位的默认密码,即“123qweQWE!@#000000000”。

Gitlab OAuth注册默认口令漏洞分析(CVE-2022-1162)

漏洞验证

  1. 拉取 gitlab-ce 受影响版本的 docker 镜像
  2. 注册 Github App,callback 链接设置为:http://your-ip/users/auth/github/callback
  3. 开启 gitlab 中 OmniAuth相关配置
gitlab_rails['omniauth_enabled'] = true
gitlab_rails['omniauth_allow_single_sign_on'] = ['github']
gitlab_rails['omniauth_block_auto_created_users'] = false
gitlab_rails['omniauth_providers'] = [                   
    {                                                       
        "name" => "github",                                         
        "app_id" => "github_app_id",                                   
        "app_secret" => "github_app_secret",                             
        "args" => { "scope" => "user:email" }                           
    }                                                   
]
  1. 通过 OAuth github 登录(开启了 Github 和 Twitter 的 OAuth 登录如图)
Gitlab OAuth注册默认口令漏洞分析(CVE-2022-1162)
  1. 用户被自动注册成功后,可以通过用户名和硬编码密码直接登录
Gitlab OAuth注册默认口令漏洞分析(CVE-2022-1162)
Gitlab OAuth注册默认口令漏洞分析(CVE-2022-1162)

参考链接

https://gitlab.com/gitlab-org/gitlab/-/commit/a5a3a41a50e3f47f49d8ca48c6cc2bcb667f6050

https://gitlab.com/gitlab-org/gitlab/-/commit/e2fb87ec5d4e235d6b83454980cec9c049849a1c

https://docs.gitlab.com/ee/integration/omniauth.html

https://docs.gitlab.com/ee/integration/github.html

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/vulnerability-analysis/4132.html

(0)
上一篇 2023年1月4日 16:13
下一篇 2023年1月4日 17:26

相关推荐

  • Spring Cloud Function 3.0.0.RELEASE~3.2.2 版本SPEL表达式注入漏洞

    漏洞发现时间 2022-03-24 漏洞验证时间 2022-03-25,已第一时间提交CNVD 标题 Spring Cloud Function 3.0.0.RELEASE~3.2.2 版本SPEL表达式注入漏洞 漏洞编号 MPS-2022-6799 发现方式 墨菲安全实验室情报预警监控 语言 java 影响组件及版本 org.springframework…

    漏洞分析 2023年1月4日
  • Ghost 博客系统后台代码执行漏洞分析

    漏洞简述 Ghost 是以Node.js语言开发的一款开源博客程序,在Github上其star为超过4万。 漏洞分析 漏洞因为需要后台权限,有一定利用条件,有趣的点在于Ghost的RCE漏洞是由于moment.js下的路径遍历和文件包含漏洞,再加上Ghost中的文件上传和指定locale功能。moment.js中的文件包含漏洞,在一般情况下可能影响较小,但结…

    2023年1月4日
  • CVE-2022-22947 SpringCloud GateWay SPEL RCE 漏洞分析

    漏洞概要 Spring Cloud Gateway 是Spring Cloud 生态中的API网关,包含限流、过滤等API治理功能。 Spring官方在2022年3月1日发布新版本修复了Spring Cloud Gateway中的一处代码注入漏洞。当actuator端点开启或暴露时,可以通过http请求修改路由,路由中包含的恶意filter参数会经过SPEL…

    2023年2月23日
  • Confluence WIKI OGNL注入漏洞(CVE-2022-26134)

    简述 6月4日,墨菲安全实验室监测发现Atlassian修复了Confluence Server 和 Confluence Data Center 中的OGNL注入漏洞。 Atlassian Confluence是企业常用的wiki系统,攻击者无需认证可利用漏洞在Confluence Server 或 Confluence Data Center 系统中执行…

    2023年1月4日
  • Apache IoTDB grafana-connector模块SQL注入分析

    漏洞简述 Apache IoTDB 是面向IoT场景存储时序数据的数据管理系统,具备跟Grafana、spark等系统的集成能力。 4月8日,IoTDB 修复了其中 grafana-connector 模块中的 SQL 注入漏洞。 由于 grafana-connector 模块中 BasicDaoImpl 类的 querySeriesInternal 方法存…

    2023年1月4日

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741