GitLab je upozorio korisnike na povećanje zlonamjerne aktivnosti povezane s iskorištavanjem kritične ranjivosti CVE-2021-22205, koja vam omogućava da daljinski izvršite svoj kod na serveru koji koristi platformu za kolaborativni razvoj GitLab bez autentifikacije.
Problem je prisutan u GitLabu od verzije 11.9 i popravljen je još u aprilu sa GitLab izdanjima 13.10.3, 13.9.6 i 13.8.8. Međutim, prema skeniranju globalne mreže od 31 javno dostupnih GitLab instanci obavljenom 60. oktobra, 50% sistema i dalje koristi zastarjele verzije GitLaba koje su podložne ranjivostima. Samo 21% testiranih servera imalo je instalirane potrebne nadogradnje, a 29% sistema nije moglo odrediti koji broj verzije koristi.
Nemarni odnos administratora servera iz GitLaba prema instaliranju ažuriranja doveo je do toga da su ranjivost počeli aktivno da iskorištavaju napadači koji su počeli postavljati zlonamjerni softver na servere i povezivati ih s radom botneta uključenog u DDoS napade. Na svom vrhuncu, obim saobraćaja tokom DDoS napada koji je generisao botnet baziran na ranjivim GitLab serverima dostigao je 1 terabit u sekundi.
Ranjivost je uzrokovana pogrešnom obradom otpremljenih slikovnih datoteka od strane eksternog parsera zasnovanog na biblioteci ExifTool. Ranjivost u ExifTool-u (CVE-2021-22204) omogućila je izvršavanje proizvoljnih komandi na sistemu prilikom raščlanjivanja metapodataka iz DjVu fajlova: (metapodaci (Autorska prava "\ " . qx{echo test >/tmp/test} . \ " b " ) )
Istovremeno, budući da je stvarni format u ExifToolu određen tipom sadržaja MIME, a ne ekstenzijom datoteke, napadač je mogao preuzeti DjVu dokument sa eksploatacijom pod krinkom obične JPG ili TIFF slike (GitLab poziva ExifTool za sve datoteke sa ekstenzijama jpg, jpeg i tiff za čišćenje dodatnih oznaka). Primjer eksploatacije. U podrazumevanoj konfiguraciji GitLab CE, napad se može izvesti slanjem dva zahteva koji ne zahtevaju autentifikaciju.
Korisnicima GitLaba se savjetuje da se uvjere da koriste najnoviju verziju i, ako koriste zastarjelo izdanje, hitno instaliraju ažuriranja, a ako to iz nekog razloga nije moguće, selektivno primjene zakrpu koja blokira ispoljavanje ranjivosti. Korisnicima neažuriranih sistema se također savjetuje da osiguraju da njihov sistem nije kompromitovan analizom evidencije i provjerom sumnjivih naloga napadača (npr. dexbcx, dexbcx818, dexbcxh, dexbcxi i dexbcxa99).
izvor: opennet.ru