GitLab ha advertido a los usuarios sobre un aumento de actividad maliciosa relacionada con la explotación de la vulnerabilidad crítica CVE-2021-22205, que les permite ejecutar su código de forma remota sin autenticación en un servidor que utiliza la plataforma de desarrollo colaborativo GitLab.
El problema ha estado presente en GitLab desde la versión 11.9 y se solucionó en abril en las versiones 13.10.3, 13.9.6 y 13.8.8 de GitLab. Sin embargo, a juzgar por un escaneo del 31 de octubre de una red global de 60 instancias de GitLab disponibles públicamente, el 50% de los sistemas continúan usando versiones obsoletas de GitLab que son susceptibles a vulnerabilidades. Las actualizaciones requeridas se instalaron solo en el 21% de los servidores probados y en el 29% de los sistemas no fue posible determinar el número de versión utilizada.
La actitud descuidada de los administradores del servidor GitLab a la hora de instalar actualizaciones llevó al hecho de que la vulnerabilidad comenzó a ser explotada activamente por los atacantes, quienes comenzaron a colocar malware en los servidores y a conectarlos al trabajo de una botnet que participaba en ataques DDoS. En su punto máximo, el volumen de tráfico durante un ataque DDoS generado por una botnet basada en servidores vulnerables de GitLab alcanzó 1 terabits por segundo.
La vulnerabilidad se debe al procesamiento incorrecto de archivos de imágenes descargados por parte de un analizador externo basado en la biblioteca ExifTool. Una vulnerabilidad en ExifTool (CVE-2021-22204) permitía la ejecución de comandos arbitrarios en el sistema al analizar metadatos de archivos en formato DjVu: (metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ " b ") )
Además, dado que en ExifTool el formato real estaba determinado por el tipo de contenido MIME y no por la extensión del archivo, el atacante podría descargar un documento DjVu con un exploit disfrazado de una imagen JPG o TIFF normal (GitLab llama a ExifTool para todos los archivos con jpg, extensiones jpeg y tiff para limpiar etiquetas innecesarias). Un ejemplo de hazaña. En la configuración predeterminada de GitLab CE, se puede realizar un ataque enviando dos solicitudes que no requieren autenticación.
Se recomienda a los usuarios de GitLab que se aseguren de estar utilizando la versión actual y, si están utilizando una versión desactualizada, que instalen actualizaciones inmediatamente y, si por alguna razón esto no es posible, que apliquen selectivamente un parche que bloquee la vulnerabilidad. También se recomienda a los usuarios de sistemas sin parches que se aseguren de que su sistema no se vea comprometido analizando los registros y verificando si hay cuentas de atacantes sospechosas (por ejemplo, dexbcx, dexbcx818, dexbcxh, dexbcxi y dexbcxa99).
Fuente: opennet.ru