GitLab hat Benutzer vor einer Zunahme böswilliger Aktivitäten im Zusammenhang mit der Ausnutzung der kritischen Sicherheitslücke CVE-2021-22205 gewarnt, die die Remote-Codeausführung ohne Authentifizierung auf einem Server ermöglicht, der die kollaborative Entwicklungsplattform GitLab verwendet.
Das Problem besteht in GitLab seit Version 11.9 und wurde bereits im April mit den GitLab-Versionen 13.10.3, 13.9.6 und 13.8.8 behoben. Laut einem am 31. Oktober durchgeführten globalen Netzwerkscan von 60 öffentlich zugänglichen GitLab-Instanzen verwenden jedoch 50 % der Systeme weiterhin veraltete Versionen von GitLab, die anfällig für Schwachstellen sind. Nur 21 % der getesteten Server hatten die erforderlichen Updates installiert und 29 % der Systeme konnten nicht ermitteln, welche Versionsnummer sie verwendeten.
Die nachlässige Haltung der Serveradministratoren von GitLab bei der Installation von Updates führte dazu, dass die Schwachstelle aktiv von Angreifern ausgenutzt wurde, die begannen, Malware auf Servern zu platzieren und diese mit der Arbeit eines an DDoS-Angriffen beteiligten Botnetzes zu verbinden. Auf dem Höhepunkt erreichte das Datenverkehrsvolumen während eines DDoS-Angriffs, der von einem Botnetz auf Basis anfälliger GitLab-Server generiert wurde, 1 Terabit pro Sekunde.
Die Sicherheitslücke wird durch eine fehlerhafte Verarbeitung hochgeladener Bilddateien durch einen externen Parser auf Basis der ExifTool-Bibliothek verursacht. Sicherheitslücke in ExifTool (CVE-2021-22204) ermöglichte die Ausführung beliebiger Befehle auf dem System beim Parsen von Metadaten aus DjVu-Dateien: (metadata (Copyright „\ „ . qx{echo test >/tmp/test} . \ „ b „) )
Da das tatsächliche Format in ExifTool durch den MIME-Inhaltstyp und nicht durch die Dateierweiterung bestimmt wurde, konnte der Angreifer gleichzeitig ein DjVu-Dokument mit einem Exploit unter dem Deckmantel eines regulären JPG- oder TIFF-Bildes herunterladen (GitLab nennt ExifTool dafür). alle Dateien mit den Erweiterungen jpg, jpeg und tiff, um zusätzliche Tags zu bereinigen). Exploit-Beispiel. In der Standardkonfiguration von GitLab CE kann der Angriff durch das Senden von zwei Anfragen erfolgen, die keine Authentifizierung erfordern.
GitLab-Benutzern wird empfohlen, sicherzustellen, dass sie die neueste Version verwenden und, wenn sie eine veraltete Version verwenden, dringend Updates zu installieren und, wenn dies aus irgendeinem Grund nicht möglich ist, selektiv einen Patch anzuwenden, der die Manifestation der Schwachstelle blockiert. Benutzern nicht aktualisierter Systeme wird außerdem empfohlen, sicherzustellen, dass ihr System nicht kompromittiert wird, indem sie die Protokolle analysieren und nach verdächtigen Angreiferkonten suchen (z. B. dexbcx, dexbcx818, dexbcxh, dexbcxi und dexbcxa99).
Source: opennet.ru