GitLab istifadəçilərə CVE-2021-22205 kritik boşluğunun istismarı ilə bağlı zərərli fəaliyyətin artması barədə xəbərdarlıq edib ki, bu da onlara GitLab birgə inkişaf platformasından istifadə edən serverdə autentifikasiya olmadan öz kodlarının uzaqdan icrasına imkan verir.
Problem GitLab-da 11.9 versiyasından bəri mövcuddur və aprel ayında GitLab 13.10.3, 13.9.6 və 13.8.8 buraxılışlarında düzəldilmişdir. Bununla belə, oktyabrın 31-də 60 açıq GitLab instansiyasından ibarət qlobal şəbəkənin skanına əsasən, sistemlərin 50%-i GitLab-ın köhnəlmiş və zəifliklərə həssas versiyalarından istifadə etməyə davam edir. Tələb olunan yeniləmələr sınaqdan keçirilmiş serverlərin yalnız 21%-də quraşdırılıb, sistemlərin 29%-də isə istifadə olunan versiya nömrəsini müəyyən etmək mümkün olmayıb.
GitLab server administratorlarının yeniləmələrin quraşdırılmasına diqqətsiz münasibəti ona gətirib çıxardı ki, zəiflikdən təcavüzkarlar fəal şəkildə istifadə etməyə başladılar, onlar serverlərə zərərli proqramlar yerləşdirməyə və onları DDoS hücumlarında iştirak edən botnetin işinə qoşmağa başladılar. Həssas GitLab serverlərinə əsaslanan botnet tərəfindən yaradılan DDoS hücumu zamanı trafikin həcmi pik nöqtəsində saniyədə 1 terabitə çatıb.
Zəiflik ExifTool kitabxanasına əsaslanan xarici təhlilçi tərəfindən endirilmiş şəkil fayllarının düzgün işlənməməsi nəticəsində yaranıb. ExifTool-dakı boşluq (CVE-2021-22204) DjVu formatında fayllardan metadata təhlil edilərkən sistemdə ixtiyari əmrlərin icrasına icazə verdi: (metadata (Müəllif hüququ "\ " . qx{echo test >/tmp/test} . \ "b"))
Üstəlik, faktiki format ExifTool-da fayl uzantısı ilə deyil, MIME məzmun növü ilə müəyyən edildiyi üçün təcavüzkar adi JPG və ya TIFF təsviri adı altında istismara malik DjVu sənədini endirə bilər (GitLab bütün fayllar üçün ExifTool-a zəng edir). jpg, jpeg uzantıları və lazımsız teqləri təmizləmək üçün tiff). İstismar nümunəsi. GitLab CE-nin standart konfiqurasiyasında autentifikasiya tələb etməyən iki sorğu göndərməklə hücum həyata keçirilə bilər.
GitLab istifadəçilərinə tövsiyə olunur ki, cari versiyadan istifadə etsinlər və köhnə buraxılışdan istifadə edirlərsə, dərhal yeniləmələri quraşdırsınlar və nədənsə bu mümkün deyilsə, seçici olaraq zəifliyi bloklayan yamağı tətbiq etsinlər. Yamaqlanmamış sistemlərin istifadəçilərinə həmçinin qeydləri təhlil edərək və şübhəli təcavüzkar hesablarını (məsələn, dexbcx, dexbcx818, dexbcxh, dexbcxi və dexbcxa99) yoxlayaraq sistemlərinin pozulmamasını təmin etmək tövsiyə olunur.
Mənbə: opennet.ru