GitLab ha advertit als usuaris sobre un augment de l'activitat maliciosa relacionada amb l'explotació de la vulnerabilitat crítica CVE-2021-22205, que permet executar el codi de manera remota en un servidor que utilitza la plataforma de desenvolupament col·laboratiu GitLab sense autenticació.
El problema està present a GitLab des de la versió 11.9 i es va solucionar l'abril amb les versions de GitLab 13.10.3, 13.9.6 i 13.8.8. Tanmateix, segons una exploració de la xarxa global de 31 instàncies de GitLab disponibles públicament realitzada el 60 d'octubre, el 50% dels sistemes continuen utilitzant versions obsoletes de GitLab susceptibles a vulnerabilitats. Només el 21% dels servidors provats tenien les actualitzacions necessàries instal·lades i el 29% dels sistemes no van poder determinar quin número de versió estaven utilitzant.
L'actitud negligent dels administradors de servidors de GitLab a la instal·lació d'actualitzacions va fer que la vulnerabilitat comencés a ser explotada activament pels atacants que van començar a col·locar programari maliciós als servidors i connectar-los al treball d'una botnet implicada en atacs DDoS. En el seu punt àlgid, el volum de trànsit durant un atac DDoS generat per una botnet basada en servidors vulnerables de GitLab va arribar a 1 terabit per segon.
La vulnerabilitat és causada pel processament incorrecte dels fitxers d'imatge carregats per un analitzador extern basat en la biblioteca ExifTool. Una vulnerabilitat a ExifTool (CVE-2021-22204) permetia executar ordres arbitràries al sistema quan s'analitzaven metadades dels fitxers DjVu: (metadades (Dret d'autor "\ " . qx{echo test >/tmp/test} . \ " b ") ))
Al mateix temps, com que el format real es determinava a ExifTool pel tipus de contingut MIME, i no per l'extensió del fitxer, l'atacant podria descarregar un document DjVu amb un exploit sota l'aparença d'una imatge JPG o TIFF normal (GitLab anomena ExifTool per tots els fitxers amb extensions jpg, jpeg i tiff per netejar etiquetes addicionals). Exemple d'explotació. En la configuració predeterminada de GitLab CE, l'atac es pot dur a terme enviant dues peticions que no requereixen autenticació.
Es recomana als usuaris de GitLab que s'assegurin que estan utilitzant l'última versió i que, si utilitzen una versió obsoleta, instal·lin amb urgència actualitzacions i, si això no és possible per algun motiu, apliquen selectivament un pedaç que bloquegi la manifestació de la vulnerabilitat. També es recomana als usuaris de sistemes no actualitzats que s'assegurin que el seu sistema no es vegi compromès analitzant els registres i comprovant si hi ha comptes d'atacant sospitosos (per exemple, dexbcx, dexbcx818, dexbcxh, dexbcxi i dexbcxa99).
Font: opennet.ru