حذر GitLab المستخدمين من زيادة النشاط الضار المتعلق باستغلال الثغرة الأمنية الحرجة CVE-2021-22205 ، والتي تتيح لك تنفيذ التعليمات البرمجية الخاصة بك عن بُعد على خادم يستخدم نظام GitLab التعاوني للتطوير بدون مصادقة.
كانت المشكلة موجودة في GitLab منذ الإصدار 11.9 وتم إصلاحها مرة أخرى في أبريل بإصدارات GitLab 13.10.3 و 13.9.6 و 13.8.8. ومع ذلك ، وفقًا لمسح شبكة عالمية لـ 31 حالة GitLab متاحة للجمهور أجريت في 60 أكتوبر ، فإن 50٪ من الأنظمة تواصل استخدام إصدارات قديمة من GitLab تكون عرضة للثغرات الأمنية. تم تثبيت التحديثات المطلوبة في 21٪ فقط من الخوادم التي تم اختبارها ، ولم يتمكن 29٪ من الأنظمة من تحديد رقم الإصدار الذي تستخدمه.
أدى الموقف المهمل لمسؤولي الخادم من GitLab تجاه تثبيت التحديثات إلى حقيقة أن الثغرة الأمنية بدأت تُستغل بشكل نشط من قبل المهاجمين الذين بدأوا في وضع برامج ضارة على الخوادم وربطها بعمل الروبوتات المتورطة في هجمات DDoS. في ذروته ، بلغ حجم حركة المرور أثناء هجوم DDoS الذي تم إنشاؤه بواسطة الروبوتات القائمة على خوادم GitLab المعرضة للخطر 1 تيرا بايت في الثانية.
سبب الثغرة الأمنية هو المعالجة غير الصحيحة لملفات الصور التي تم تحميلها بواسطة محلل خارجي يعتمد على مكتبة ExifTool. سمحت ثغرة أمنية في ExifTool (CVE-2021-22204) بتنفيذ أوامر عشوائية على النظام عند تحليل البيانات الوصفية من ملفات DjVu: (البيانات الوصفية (حقوق النشر "\". qx {echo test> / tmp / test}. \ "b" ))
في الوقت نفسه ، نظرًا لأن التنسيق الفعلي تم تحديده في ExifTool بواسطة نوع محتوى MIME ، وليس امتداد الملف ، يمكن للمهاجم تنزيل مستند DjVu مع استغلال تحت ستار صورة JPG أو TIFF عادية (يستدعي GitLab ExifTool لـ جميع الملفات ذات الامتدادات jpg و jpeg و tiff لتنظيف العلامات الإضافية). مثال استغلال. في التكوين الافتراضي لـ GitLab CE ، يمكن تنفيذ الهجوم بإرسال طلبين لا يتطلبان مصادقة.
يُنصح مستخدمي GitLab بالتأكد من أنهم يستخدمون أحدث إصدار ، وإذا كانوا يستخدمون إصدارًا قديمًا ، فقم بتثبيت التحديثات بشكل عاجل ، وإذا لم يكن ذلك ممكنًا لسبب ما ، فقم بتطبيق التصحيح الذي يحظر ظهور الثغرة الأمنية بشكل انتقائي. يُنصح مستخدمو الأنظمة غير المحدثة أيضًا بضمان عدم تعرض نظامهم للخطر من خلال تحليل السجلات والتحقق من حسابات المهاجمين المشبوهة (مثل dexbcx و dexbcx818 و dexbcxh و dexbcxi و dexbcxa99).
المصدر: opennet.ru