Une vulnérabilité de détournement de domaine a été corrigée sur GitLab

Une faille a été identifiée sur le système de gestion de code source Gitlab. Elle pourrait être exploitée pour détourner les domaines personnalisés d’un utilisateur vers du contenu malveillant.

GitLab Pages est une fonctionnalité qui permet aux utilisateurs de créer des sites web pour leurs projets, groupes ou comptes d'utilisateurs puis de les associer à des domaines personnalisés et à des certificats TLS.

La faille est due au fait qu'aucune validation n'était présente pour s'assurer que le domaine ajouté à la page d'un utilisateur était réellement le sien.

Un domaine personnalisé peut être ajouté aux GitLab Pages en créant un nouvel enregistrement DNS de type A avec une adresse IP pour un serveur Pages. Un attaquant pourrait exploiter l’absence de validation lors de l'ajout de domaines personnalisés pour identifier des domaines avec des enregistrements DNS pointant vers le serveur GitLab Pages et détourner ces domaines. Les visiteurs des domaines piratés pourraient donc recevoir du contenu malveillant.

Deux chercheurs ont révélé les détails de la faille sur HackerOne, y compris la preuve de concept (PoC) et ont signalé des centaines de domaines vulnérables.

GitLab a initialement désactivé la fonctionnalité d'ajout de domaines personnalisés de GitLab Pages, a déployé un correctif et a demandé aux utilisateurs de vérifier la propriété lors de l'ajout d'un domaine personnalisé. La vérification s’effectue en ajoutant un enregistrement DNS TXT contenant un jeton fourni par GitLab au domaine de l'utilisateur