GitLab hà avvirtutu l'utilizatori nantu à un aumentu di l'attività maliciosa ligata à u sfruttamentu di a vulnerabilità critica CVE-2021-22205, chì permette di eseguisce remotamente u vostru codice in un servitore chì usa a piattaforma di sviluppu collaborativu GitLab senza autentificazione.
U prublema hè presente in GitLab da a versione 11.9 è hè stata risolta in aprile cù GitLab versioni 13.10.3, 13.9.6 è 13.8.8. Tuttavia, secondu una scansione di rete globale di 31 60 istanze di GitLab publicamente dispunibuli realizate u 50 d'ottobre, u 21% di i sistemi cuntinueghjanu à aduprà versioni obsolete di GitLab chì sò suscettibili à vulnerabili. Solu u 29% di i servitori testati avianu l'aghjurnamenti necessarii installati, è u XNUMX% di i sistemi ùn anu pussutu determinà quale numeru di versione anu utilizatu.
L'attitudine negligente di l'amministratori di u servitore da GitLab per installà l'aghjurnamenti hà purtatu à u fattu chì a vulnerabilità cuminciò à esse sfruttata attivamente da l'attaccanti chì cuminciaru à mette malware in i servitori è li cunnetta à u travagliu di una botnet implicata in attacchi DDoS. À u so piccu, u voluminu di trafficu durante un attaccu DDoS generatu da una botnet basata nantu à i servitori vulnerabili GitLab hà righjuntu 1 terabit per seconda.
A vulnerabilità hè causata da u trattamentu incorrectu di i fugliali di l'imaghjini caricati da un parser esternu basatu nantu à a biblioteca ExifTool. Una vulnerabilità in ExifTool (CVE-2021-22204) hà permessu di eseguisce cumandamenti arbitrarii nantu à u sistema durante l'analisi di metadati da i fugliali DjVu: (metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ " b " ) )
À u listessu tempu, postu chì u formatu attuale hè statu determinatu in ExifTool da u tipu di cuntenutu MIME, è micca l'estensione di u schedariu, l'attaccante puderia scaricà un documentu DjVu cù un sfruttamentu sottu u guise di una maghjina JPG o TIFF regulare (GitLab chjama ExifTool per tutti i fugliali cù estensioni jpg, jpeg è tiff per pulizziari tag extra). Esempiu di sfruttamentu. In a cunfigurazione predeterminata di GitLab CE, l'attaccu pò esse realizatu mandendu duie dumande chì ùn necessitanu micca autentificazione.
L'utilizatori di GitLab sò cunsigliati per assicurà chì utilizanu l'ultima versione è, s'elli utilizanu una versione obsoleta, installanu urgentemente l'aghjurnamenti, è se questu ùn hè micca pussibule per una certa ragione, applicà selettivamente un patch chì blocca a manifestazione di a vulnerabilità. L'utilizatori di sistemi micca aghjurnati sò ancu cunsigliati per assicurà chì u so sistema ùn hè micca cumprumissu analizendu i logs è cuntrollà i cunti di l'attaccante sospetti (per esempiu, dexbcx, dexbcx818, dexbcxh, dexbcxi è dexbcxa99).
Source: opennet.ru