GitLab به کاربران در مورد افزایش فعالیت های مخرب مربوط به بهره برداری از آسیب پذیری حیاتی CVE-2021-22205 هشدار داده است که به آنها اجازه می دهد تا از راه دور کد خود را بدون احراز هویت روی سروری که از پلتفرم توسعه مشترک GitLab استفاده می کند، اجرا کنند.
این مشکل از نسخه 11.9 در GitLab وجود داشت و در ماه آوریل در نسخه های 13.10.3، 13.9.6 و 13.8.8 GitLab برطرف شد. با این حال، با قضاوت در 31 اکتبر از یک شبکه جهانی متشکل از 60 نمونه GitLab در دسترس عموم، 50٪ از سیستم ها همچنان از نسخه های قدیمی GitLab که مستعد آسیب پذیری هستند استفاده می کنند. به روز رسانی های مورد نیاز تنها بر روی 21 درصد از سرورهای آزمایش شده نصب شده است و در 29 درصد از سیستم ها امکان تعیین شماره نسخه مورد استفاده وجود نداشت.
نگرش بی دقت مدیران سرور GitLab نسبت به نصب به روز رسانی ها منجر به این واقعیت شد که این آسیب پذیری به طور فعال توسط مهاجمان مورد سوء استفاده قرار گرفت و شروع به قرار دادن بدافزار روی سرورها و اتصال آنها به کار یک بات نت شرکت کننده در حملات DDoS کرد. در اوج خود، حجم ترافیک در طول یک حمله DDoS ایجاد شده توسط یک بات نت مبتنی بر سرورهای آسیب پذیر GitLab به 1 ترابیت در ثانیه رسید.
این آسیب پذیری به دلیل پردازش نادرست فایل های تصویری دانلود شده توسط یک تجزیه کننده خارجی بر اساس کتابخانه ExifTool ایجاد می شود. یک آسیبپذیری در ExifTool (CVE-2021-22204) اجازه میدهد هنگام تجزیه فراداده از فایلها در قالب DjVu، دستورات دلخواه در سیستم اجرا شوند: (فراداده (حق نشر "\" . qx{echo test >/tmp/test} . \ "ب"))
علاوه بر این، از آنجایی که فرمت واقعی در ExifTool توسط نوع محتوای MIME تعیین می شد و نه پسوند فایل، مهاجم می توانست یک سند DjVu را با یک سوء استفاده تحت پوشش یک تصویر معمولی JPG یا TIFF دانلود کند (GitLab ExifTool را برای همه فایل های دارای jpg، پسوندهای jpeg و tiff برای پاک کردن برچسبهای غیر ضروری). نمونه ای از اکسپلویت. در پیکربندی پیشفرض GitLab CE، یک حمله را میتوان با ارسال دو درخواست که نیازی به احراز هویت ندارند، انجام داد.
به کاربران GitLab توصیه میشود مطمئن شوند که از نسخه فعلی استفاده میکنند و اگر از نسخه قدیمی استفاده میکنند، فوراً بهروزرسانیها را نصب کنند و اگر به دلایلی این امکان وجود نداشت، بهطور انتخابی وصلهای را اعمال کنند که آسیبپذیری را مسدود میکند. همچنین به کاربران سیستمهای وصلهنشده توصیه میشود که با تجزیه و تحلیل گزارشها و بررسی حسابهای مهاجم مشکوک (به عنوان مثال، dexbcx، dexbcx818، dexbcxh، dexbcxi و dexbcxa99) مطمئن شوند که سیستم آنها به خطر نمیافتد.
منبع: opennet.ru