GitLab on hoiatanud kasutajaid pahatahtliku tegevuse suurenemise eest, mis on seotud kriitilise haavatavuse CVE-2021-22205 ärakasutamisega, mis võimaldab neil kaugkäivitada oma koodi ilma autentimiseta serveris, mis kasutab GitLabi koostöö arendusplatvormi.
Probleem on GitLabis esinenud alates versioonist 11.9 ja see parandati aprillis GitLabi versioonides 13.10.3, 13.9.6 ja 13.8.8. Kuid otsustades 31. oktoobril 60 50 avalikult kättesaadava GitLabi eksemplari ülemaailmse võrgu skannimise põhjal, kasutab 21% süsteemidest jätkuvalt GitLabi aegunud versioone, mis on haavatavad. Vajalikud uuendused paigaldati vaid 29%-le testitud serveritest ning XNUMX%-l süsteemidest ei olnud võimalik määrata kasutatavat versiooninumbrit.
GitLabi serveriadministraatorite hoolimatu suhtumine uuenduste installimisse viis selleni, et haavatavust hakkasid aktiivselt ära kasutama ründajad, kes hakkasid serveritesse pahavara paigutama ja neid DDoS-i rünnakutes osaleva botneti tööga ühendama. Tippajal ulatus haavatavatel GitLabi serveritel põhineva botneti genereeritud DDoS-rünnaku ajal liikluse maht 1 terabitini sekundis.
Haavatavuse põhjuseks on allalaaditud pildifailide vale töötlemine ExifTooli teegil põhineva välise parseri poolt. ExifTooli haavatavus (CVE-2021-22204) võimaldas DjVu-vormingus failide metaandmete sõelumisel süsteemis käivitada suvalisi käske: (metaandmed (Autoriõigus "\ " . qx{kaja test >/tmp/test} . \ "b"))
Veelgi enam, kuna tegeliku vormingu määras ExifToolis MIME sisutüüp, mitte faililaiend, võis ründaja tavalise JPG- või TIFF-kujutise varjus alla laadida DjVu-dokumendi ärakasutamisega (GitLab kutsub ExifTooli kõigi failide jaoks jpg, jpeg laiendused ja tiff tarbetute siltide puhastamiseks). Näide ärakasutamisest. GitLab CE vaikekonfiguratsioonis saab rünnaku läbi viia, saates kaks päringut, mis ei vaja autentimist.
GitLabi kasutajatel soovitatakse veenduda, et nad kasutavad praegust versiooni ja kui nad kasutavad vananenud versiooni, installida kohe värskendused ja kui see mingil põhjusel pole võimalik, siis rakendada valikuliselt haavatavust blokeeriv plaaster. Paigaldamata süsteemide kasutajatel soovitatakse logide analüüsimisel ja kahtlaste ründajakontode (nt dexbcx, dexbcx818, dexbcxh, dexbcxi ja dexbcxa99) kontrollimisel tagada, et nende süsteemi ei kahjustataks.
Allikas: opennet.ru