GitLab het gebruikers gewaarsku oor 'n toename in kwaadwillige aktiwiteit wat verband hou met die uitbuiting van die kritieke kwesbaarheid CVE-2021-22205, wat afgeleë kode-uitvoering toelaat sonder verifikasie op 'n bediener wat die GitLab-samewerkende ontwikkelingsplatform gebruik.
Die probleem is sedert weergawe 11.9 in GitLab aanwesig en is in April reggestel met GitLab-vrystellings 13.10.3, 13.9.6 en 13.8.8. Volgens 'n wêreldwye netwerkskandering van 31 60 publieke beskikbare GitLab-gevalle wat op 50 Oktober uitgevoer is, gaan 21% van stelsels egter voort om verouderde weergawes van GitLab te gebruik wat vatbaar is vir kwesbaarhede. Slegs 29% van die bedieners wat getoets is, het die vereiste opdaterings geïnstalleer, en XNUMX% van die stelsels kon nie bepaal watter weergawenommer hulle gebruik nie.
Die nalatige houding van bedieneradministrateurs van GitLab tot die installering van opdaterings het daartoe gelei dat die kwesbaarheid aktief uitgebuit is deur aanvallers wat wanware op bedieners begin plaas en dit verbind het met die werk van 'n botnet wat by DDoS-aanvalle betrokke is. Op sy hoogtepunt het die volume verkeer tydens 'n DDoS-aanval gegenereer deur 'n botnet gebaseer op kwesbare GitLab-bedieners 1 terabit per sekonde bereik.
Die kwesbaarheid word veroorsaak deur die verkeerde verwerking van opgelaaide beeldlêers deur 'n eksterne ontleder gebaseer op die ExifTool-biblioteek. 'n Kwesbaarheid in ExifTool (CVE-2021-22204) het toegelaat dat arbitrêre opdragte op die stelsel uitgevoer word wanneer metadata vanaf DjVu-lêers ontleed word: (metadata (Kopiereg "\ " . qx{echo-toets >/tmp/toets} . \ " b " ))
Terselfdertyd, aangesien die werklike formaat in ExifTool bepaal is deur die MIME-inhoudtipe, en nie die lêeruitbreiding nie, kon die aanvaller 'n DjVu-dokument aflaai met 'n uitbuiting onder die dekmantel van 'n gewone JPG- of TIFF-beeld (GitLab roep ExifTool vir alle lêers met uitbreidings jpg, jpeg en tiff om ekstra etikette skoon te maak). Ontgin voorbeeld. In die verstekkonfigurasie van GitLab CE, kan die aanval uitgevoer word deur twee versoeke te stuur wat nie verifikasie vereis nie.
GitLab-gebruikers word aangeraai om seker te maak dat hulle die nuutste weergawe gebruik en, as hulle 'n verouderde weergawe gebruik, dringend opdaterings installeer, en as dit om een of ander rede nie moontlik is nie, pas 'n pleister selektief toe wat die manifestasie van die kwesbaarheid blokkeer. Gebruikers van nie-bygewerkte stelsels word ook aangeraai om te verseker dat hul stelsel nie gekompromitteer word deur die logboeke te ontleed en na te gaan vir verdagte aanvallerrekeninge (bv. dexbcx, dexbcx818, dexbcxh, dexbcxi en dexbcxa99).
Bron: opennet.ru