Το GitLab έχει προειδοποιήσει τους χρήστες για αύξηση της κακόβουλης δραστηριότητας που σχετίζεται με την εκμετάλλευση της κρίσιμης ευπάθειας CVE-2021-22205, η οποία τους επιτρέπει να εκτελούν εξ αποστάσεως τον κώδικά τους χωρίς έλεγχο ταυτότητας σε έναν διακομιστή που χρησιμοποιεί την πλατφόρμα συνεργασίας ανάπτυξης GitLab.
Το ζήτημα ήταν παρόν στο GitLab από την έκδοση 11.9 και επιδιορθώθηκε τον Απρίλιο στις εκδόσεις 13.10.3, 13.9.6 και 13.8.8 του GitLab. Ωστόσο, αν κρίνουμε από μια σάρωση στις 31 Οκτωβρίου ενός παγκόσμιου δικτύου 60 διαθέσιμων στο κοινό παρουσιών GitLab, το 50% των συστημάτων συνεχίζει να χρησιμοποιεί ξεπερασμένες εκδόσεις του GitLab που είναι επιρρεπείς σε τρωτά σημεία. Οι απαιτούμενες ενημερώσεις εγκαταστάθηκαν μόνο στο 21% των διακομιστών που δοκιμάστηκαν και στο 29% των συστημάτων δεν ήταν δυνατός ο προσδιορισμός του αριθμού έκδοσης που χρησιμοποιήθηκε.
Η απρόσεκτη στάση των διαχειριστών διακομιστή GitLab στην εγκατάσταση ενημερώσεων οδήγησε στο γεγονός ότι η ευπάθεια άρχισε να γίνεται ενεργή εκμετάλλευση από εισβολείς, οι οποίοι άρχισαν να τοποθετούν κακόβουλο λογισμικό στους διακομιστές και να τους συνδέουν με το έργο ενός botnet που συμμετέχει σε επιθέσεις DDoS. Στο αποκορύφωμά του, ο όγκος της επισκεψιμότητας κατά τη διάρκεια μιας επίθεσης DDoS που δημιουργήθηκε από ένα botnet που βασίζεται σε ευάλωτους διακομιστές GitLab έφτασε το 1 terabit ανά δευτερόλεπτο.
Η ευπάθεια προκαλείται από εσφαλμένη επεξεργασία των ληφθέντων αρχείων εικόνας από έναν εξωτερικό αναλυτή που βασίζεται στη βιβλιοθήκη ExifTool. Μια ευπάθεια στο ExifTool (CVE-2021-22204) επέτρεψε την εκτέλεση αυθαίρετων εντολών στο σύστημα κατά την ανάλυση μεταδεδομένων από αρχεία σε μορφή DjVu: (μεταδεδομένα (Πνευματικά δικαιώματα "\ " . qx{echo test >/tmp/test} . \ "β"))
Επιπλέον, δεδομένου ότι η πραγματική μορφή καθορίστηκε στο ExifTool από τον τύπο περιεχομένου MIME και όχι από την επέκταση αρχείου, ο εισβολέας μπορούσε να κατεβάσει ένα έγγραφο DjVu με ένα exploit υπό το πρόσχημα μιας κανονικής εικόνας JPG ή TIFF (το GitLab καλεί το ExifTool για όλα τα αρχεία με jpg, επεκτάσεις jpeg και tiff για καθαρισμό περιττών ετικετών). Ένα παράδειγμα εκμετάλλευσης. Στην προεπιλεγμένη διαμόρφωση του GitLab CE, μια επίθεση μπορεί να πραγματοποιηθεί με την αποστολή δύο αιτημάτων που δεν απαιτούν έλεγχο ταυτότητας.
Συνιστάται στους χρήστες του GitLab να διασφαλίσουν ότι χρησιμοποιούν την τρέχουσα έκδοση και, εάν χρησιμοποιούν μια παλιά έκδοση, να εγκαταστήσουν αμέσως ενημερώσεις και εάν για κάποιο λόγο αυτό δεν είναι δυνατό, να εφαρμόσουν επιλεκτικά μια ενημέρωση κώδικα που αποκλείει την ευπάθεια. Συνιστάται επίσης στους χρήστες μη επιδιορθωμένων συστημάτων να διασφαλίζουν ότι το σύστημά τους δεν τίθεται σε κίνδυνο αναλύοντας τα αρχεία καταγραφής και ελέγχοντας για ύποπτους λογαριασμούς εισβολέων (για παράδειγμα, dexbcx, dexbcx818, dexbcxh, dexbcxi και dexbcxa99).
Πηγή: opennet.ru