GitLab avertis uzantojn pri pliiĝo de malica agado rilata al la ekspluatado de la kritika vundebleco CVE-2021-22205, kiu ebligas al ili malproksime ekzekuti sian kodon sen aŭtentigo sur servilo kiu uzas la GitLab-kunlaborevoluan platformon.
La problemo ĉeestas en GitLab ekde versio 11.9 kaj estis riparita en aprilo en GitLab-eldonoj 13.10.3, 13.9.6 kaj 13.8.8. Tamen, se juĝante per skanado la 31-an de oktobro de tutmonda reto de 60 publike haveblaj GitLab-instancoj, 50% de sistemoj daŭre uzas malmodernajn versiojn de GitLab kiuj estas sentemaj al vundeblecoj. La bezonataj ĝisdatigoj estis instalitaj sur nur 21% de la testitaj serviloj, kaj sur 29% de sistemoj ne eblis determini la versinumeron uzatan.
La senzorga sinteno de administrantoj de la servilo de GitLab pri instalo de ĝisdatigoj kondukis al la fakto, ke la vundebleco komencis esti aktive ekspluatata de atakantoj, kiuj komencis meti malware sur la serviloj kaj konekti ilin al la laboro de botneto partoprenanta en DDoS-atakoj. En ĝia pinto, la volumo de trafiko dum DDoS-atako generita de botneto bazita sur vundeblaj GitLab-serviloj atingis 1 terabitojn por sekundo.
La vundebleco estas kaŭzita de malĝusta prilaborado de elŝutitaj bilddosieroj de ekstera analizilo bazita sur la biblioteko ExifTool. Vulnerabileco en ExifTool (CVE-2021-22204) permesis ekzekuti arbitrajn komandojn en la sistemo dum analizado de metadatenoj de dosieroj en la formato DjVu: (metadatenoj (Kopirajto "\ " . qx{eĥotesto >/tmp/test} . \ "b"))
Krome, ĉar la fakta formato estis determinita en ExifTool per la MIME-enhava tipo, kaj ne la dosier-etendaĵo, la atakanto povus elŝuti DjVu-dokumenton kun ekspluato sub la alivestiĝo de regula JPG aŭ TIFF-bildo (GitLab nomas ExifTool por ĉiuj dosieroj kun jpg, jpeg etendaĵoj kaj tiff por purigi nenecesajn etikedojn). Ekzemplo de ekspluato. En la defaŭlta agordo de GitLab CE, atako povas esti farita sendante du petojn, kiuj ne postulas aŭtentikigon.
Uzantoj de GitLab estas rekomenditaj certigi, ke ili uzas la nunan version kaj, se ili uzas malmodernan eldonon, tuj instali ĝisdatigojn, kaj se ial tio ne eblas, elekte apliki flikilon, kiu blokas la vundeblecon. Uzantoj de neflakitaj sistemoj ankaŭ estas konsilitaj certigi, ke ilia sistemo ne estas endanĝerigita analizante la protokolojn kaj kontrolante suspektindajn atakantajn kontojn (ekzemple, dexbcx, dexbcx818, dexbcxh, dexbcxi kaj dexbcxa99).
fonto: opennet.ru