Кампанія GitLab папярэдзіла карыстальнікаў аб павелічэнні актыўнасці зламыснікаў, звязанай з эксплуатацыяй крытычнай уразлівасці CVE-2021-22205, якая дазваляе выдалена без праходжання аўтэнтыфікацыі выканаць свой код на серверы, на якім выкарыстоўваецца платформа для арганізацыі сумеснай распрацоўкі GitLab.
Праблема праяўляецца ў GitLab пачынаючы з версіі 11.9 і была ўхіленая яшчэ ў красавіку ў выпусках GitLab 13.10.3, 13.9.6 і 13.8.8. Тым не менш, мяркуючы па праведзеным 31 кастрычніка сканаванні глабальнай сеткі з 60 тысяч публічна даступных асобнікаў GitLab, на 50% сістэм працягваюць выкарыстоўвацца састарэлыя версіі GitLab, схільныя да ўразлівасці. Неабходныя абнаўленні ўсталяваныя толькі на 21% з правераных сервераў, а на 29% сістэм вызначыць нумар выкарыстоўванай версіі не атрымалася.
Халатнае стаўленне адміністратараў сервераў з GitLab да ўсталёўкі абнаўленняў прывяло да таго, што ўразлівасць пачала актыўна эксплуатавацца зламыснікамі, якія сталі размяшчаць на серверах шкоднаснае ПА і падлучаць іх да працы ботнета, які ўдзельнічае ў здзяйсненні DDoS-нападаў. У піку аб'ём трафіку падчас DDoS-напады, генераванай ботнетом на базе ўразлівых сервераў GitLab, даходзіў да 1 тэрабіта ў секунду.
Уразлівасць выклікана некарэктнай апрацоўкай загружаных файлаў з выявамі вонкавым парсерам на базе бібліятэкі ExifTool. Уразлівасць у ExifTool (CVE-2021-22204) дазваляла выканаць адвольныя каманды ў сістэме пры разборы метададзеных з файлаў у фармаце DjVu: (metadata (Copyright "\" .
Пры гэтым, бо фактычны фармат вызначаўся ў ExifTool па MIME-тыпе змесціва, а не пашырэнню файла, атакавалы мог загрузіць DjVu-дакумент з эксплоітам пад выглядам звычайнага JPG- ці TIFF-малюнкі (GitLab выклікае ExifTool для ўсіх файлаў з пашырэннямі jpg, jpeg і tiff для чысткі лішніх тэгаў). Прыклад эксплоіту. У канфігурацыі GitLab CE па змаўчанні напад можа быць праведзена праз адпраўку двух запытаў, якія не патрабуюць мінанні аўтэнтыфікацыі.
Карыстачам GitLab рэкамендуецца пераканацца ў выкарыстанні актуальнай версіі і ў выпадку выкарыстання састарэлага выпуску тэрмінова ўсталяваць абнаўленні, а калі гэта па нейкіх чынніках немагчыма, выбарачна ўжыць патч, які блакуе праява ўразлівасці. Карыстачам неабноўленых сістэм таксама рэкамендуецца пераканацца, што іх сістэма не скампраметаваная, прааналізаваўшы логі і праверыўшы наяўнасць падазроных уліковых запісаў атакавалых (напрыклад, dexbcx, dexbcx818, dexbcxh, dexbcxi і dexbcxa99).
Крыніца: opennet.ru