GitLab har advaret brugere om en stigning i ondsindet aktivitet relateret til udnyttelsen af den kritiske sårbarhed CVE-2021-22205, som giver dig mulighed for at eksternt eksekvere din kode på en server, der bruger GitLabs kollaborative udviklingsplatform uden godkendelse.
Problemet har været til stede i GitLab siden version 11.9 og blev rettet tilbage i april med GitLab-udgivelser 13.10.3, 13.9.6 og 13.8.8. Ifølge en global netværksscanning af 31 offentligt tilgængelige GitLab-instanser udført den 60. oktober, fortsætter 50 % af systemerne med at bruge forældede versioner af GitLab, der er modtagelige for sårbarheder. Kun 21 % af de testede servere havde de nødvendige opdateringer installeret, og 29 % af systemerne var ikke i stand til at bestemme, hvilket versionsnummer de brugte.
Serveradministratorens uagtsomme holdning fra GitLab til at installere opdateringer førte til, at sårbarheden begyndte at blive aktivt udnyttet af angribere, der begyndte at placere malware på servere og forbinde dem med arbejdet i et botnet involveret i DDoS-angreb. På sit højeste nåede mængden af trafik under et DDoS-angreb genereret af et botnet baseret på sårbare GitLab-servere 1 terabit per sekund.
Sårbarheden er forårsaget af forkert behandling af uploadede billedfiler af en ekstern parser baseret på ExifTool-biblioteket. En sårbarhed i ExifTool (CVE-2021-22204) gjorde det muligt at udføre vilkårlige kommandoer på systemet ved parsing af metadata fra DjVu-filer: (metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ " b " ))
På samme tid, da det faktiske format blev bestemt i ExifTool af MIME-indholdstypen og ikke filtypenavnet, kunne angriberen downloade et DjVu-dokument med en udnyttelse under dække af et almindeligt JPG- eller TIFF-billede (GitLab kalder ExifTool for alle filer med filtypenavne jpg, jpeg og tiff for at rydde op i ekstra tags). Udnyttelseseksempel. I standardkonfigurationen af GitLab CE kan angrebet udføres ved at sende to anmodninger, der ikke kræver godkendelse.
GitLab-brugere rådes til at sikre sig, at de bruger den nyeste version og, hvis de bruger en forældet udgivelse, hurtigst muligt installere opdateringer, og hvis dette af en eller anden grund ikke er muligt, skal du selektivt anvende en patch, der blokerer manifestationen af sårbarheden. Brugere af ikke-opdaterede systemer rådes også til at sikre, at deres system ikke kompromitteres ved at analysere logfilerne og tjekke for mistænkelige hackerkonti (f.eks. dexbcx, dexbcx818, dexbcxh, dexbcxi og dexbcxa99).
Kilde: opennet.ru