GitLab مشکل امنیتی خود را که امکان به سرقت بردن دامنه ها را می داد، برطرف کرد

نویسنده : دپارتمان فنی شرکت ارتباط امن - دوشنبه 2 مهر 1397 در ساعت 23:13:16

یک محقق امنیتی، صدها دامنه GitLab را فقط در چند ثانیه با استفاده از ضعف موجود در فرآیند احراز هویت دامنه ها، ربود – یک مسئله امنیتی که این شرکت در حال حاضر آن را برطرف نموده است.

GitLab، یک مخزن مدیریت محتوای مبتنی بر وب است که به توسعه دهندگان اجازه می دهد تا در کد منبع و توسعه پروژه همکاری کنند، همچنین کاربران را قادر می سازد محتوا و پروژه های خود را با نام دامنه سفارشی خود میزبانی کنند.

اما این شرکت در 5 فوریه در اعلامیه امنیتی خود اعلام کرد که اعتبار سنجی در زمانی که یک کاربر یک دامنه سفارشی را به حساب های GitLab خود اضافه می کند انجام نمی شود.

در زمان کمی که یک دامنه سفارشی به یک repo GitLab که اخیرا حذف شده یا غیرمجاز بوده و بعدا افزوده می شود، می توان دامنه را ربود.

Edwin Foudil به نام مستعار EdOverflow شناخته شده و بنیانگذار شرکت مشاوره امنیتی Penultimate است، از یک گزارش اشکال ارائه شده در تاریخ 1 فوریه الهام گرفت که حاوی کد اثبات مفهومی بود که دامنه های سفارشی آسیب پذیر را که به GitLab اشاره داشتند، معرفی می کرد.

GitLab گزارش اولیه را به عنوان یک گزارش آموزنده مشخص کرد، که طبق مستندات بدین معنی است که حاوی “اطلاعات مفیدی است اما اقدام فوری یا اصلاحی برای آن تأیید نشده است.”

از آنجا که GitLab اجازه می دهد تا تعداد نامحدودی از دامنه ها را برای یک مخزن اختصاص دهد، Foudil توانست یک اسکریپت کوتاه را با استفاده از آن کد اولیه ایجاد کند و به او اجازه دهد تا تعداد زیادی از دامنه ها را از بین ببرد.

وی به ZDNet گفت: “این موجب شد 700 دامنه و زیر دامنه ربوده شده زیر یک دقیقه برداشته شود.” و علاوه بر آن، هر دامنه ربوده شده نیز از ایجاد یک مخزن GitLab با آن دامنه جلوگیری می کند.

این مورد به اندازه کافی برای جلب توجه GitLab کافی بود، تا این شرکت تایید کند که “گزارش ارزشمند” Foudil همان چیزی است که “باعث پاسخ ما شد ” و در کمتر از یک روز بعد باعث انتشار اطلاع رسانی امنیتی شد.

Foudil گفت: “من توانستم مسئله را به نقطه ای که این موضوع در واقع توسط GitLab ایجاد شده بود، متصل کنم.” GitLab اجازه نظارت جامع از دامنه های خود را می دهد حتی اگر به آدرس آی پی GitLab اشاره کنند.”

گزارش Foudil در اواخر روز چهارشنبه هفته قبل منتشر شد و شرکت اشکال را برطرف کرد.

Foudil همچنین گفت که حمله او تنها به حوزه هایی که اسکریپتش میتواند آنها شناسایی کند، محدود نیست.

هنگامی که یک دامنه گرفته می شود، مهاجم می تواند هر محتوایی را که می خواهد در آن دامنه قرار دهد.

Foudil گفت: “سوءاستفاده ها بی پایان هستند.” او چندین مثال را ارائه داد که مهاجم می تواند یک زیر دامنه را برای خواندن و تنظیم کوکی ها بر روی نام های دیگر قرار دهد.

او گفت: “من حتی می توانم cryptocurrency خودم را داشته باشم.”

Kathy Wang، مدیر امنیت در GitLab، در این هفته در تماس تلفنی گفت که این شرکت مسئولیت مسائل امنیتی را بر عهده گرفته است. او افزود که فقدان تأیید دامنه “یک مشکل گسترده در صنعت است”.

او گفت: “پیاده سازی تأیید دامنه یک استثنا است نه یک قانون – بنابراین بسیاری از فروشندگان هنوز آن را انجام نداده اند.”

GitLab این ویژگی ثبت دامنه های سفارشی را تا زمانی که مشکل برطرف شود، غیرفعال کرد. شرکت اظهار داشت که پیش بینی می کند که مشکل تا آخر ماه پایان یابد.

افزودن دیدگاه جدید

دیدگاههای شما

لطفا برای ما پیام بگذارید

در حال حاظر کارشناس افلاین میباشد برای ما ایمیل ارسال نمایید

سوالی دارید ؟ ما دوست داریم به شما کمک کنیم .

برای ورود به گفتگو کلیک نمایید