Giới thiệu

• GitLab là trình quản lý kho dữ liệu lưu trữ trên web được áp dụng rộng rãi, cung cấp nền tảng toàn diện để quản lý mã nguồn, tích hợp, duy trì và cộng tác trong các dự án phát triển phần mềm
• CVE-2023-7028 là lỗ hổng cho phép attacker chiếm được tài khoản người dùng (Account TakeOver) thông qua form reset password
• Lỗ hổng nằm trong các phiên bản sau của GitLab:
  • 16.1 to 16.1.5
  • 16.2 to 16.2.8
  • 16.3 to 16.3.6
  • 16.4 to 16.4.4
  • 16.5 to 16.5.5
  • 16.6 to 16.6.3
  • 16.7 to 16.7.1

Phân tích lỗ hổng

• Lỗ hổng nằm tại form reset password cụ thể là API endpoint POST /users/password của GitLab, Attacker khai thác lỗ hổng trong trường email addres bypass kiểm tra sai format dẫn tới việc attacker có thể chèn email của mình vào và khi đó GitLab gửi reset token tới cho email của attacker
• Phân tích lỗ hổng:

  • Dựa vào đoạn code GitLab cung cấp ta nhận thấy như sau:

    

    • Phần xử lý yêu cầu Reset Password nằm tại file spec/controllers/passwords_controller_spec.rb, cho phép nhập vào nhiều email từ input nhưng không có bất cứ cơ chế xác thực email nào để xác nhận rằng đó là email của user

    • Phía server chỉ yêu cầu authenticity_token (đây là hidden token để chống CSRF) từ phía attacker trong form submit để gửi request reset passwd

      

    → Ta có thể chèn email của mình vào để nhận reset token reset passwd của email nạn nhân từ đó chiếm được tài khoản người dùng

Khai thác lỗ hổng

• Bắt request reset password ta được như sau:

  

  • Form bao gồm một authenticity_token được sử dụng để chống CSRF, tên email của user được reset passwd được đặt trong biến user[email]

• Add thêm email của attacker theo payload như sau &user[email][]=victim_email&user[email][]=attacker_email và gửi request:

  

  → Check email của attacker nhận thấy rằng reset password token đã được gửi tới và có thể truy cập để thay đổi passwd