GitLab on varoittanut käyttäjiä haitallisen toiminnan lisääntymisestä, joka liittyy kriittisen haavoittuvuuden CVE-2021-22205 hyödyntämiseen, mikä antaa heille mahdollisuuden suorittaa koodinsa etänä ilman todennusta palvelimella, joka käyttää GitLab-yhteistyökehitysalustaa.
Ongelma on ollut GitLabissa versiosta 11.9 lähtien, ja se korjattiin huhtikuussa GitLabin julkaisuissa 13.10.3, 13.9.6 ja 13.8.8. Kuitenkin 31. lokakuuta tehdyn 60 50 julkisesti saatavilla olevan GitLab-instanssin maailmanlaajuisen verkoston skannauksen perusteella 21 % järjestelmistä käyttää edelleen vanhentuneita GitLabin versioita, jotka ovat herkkiä haavoittuvuuksille. Tarvittavat päivitykset asennettiin vain 29 %:iin testatuista palvelimista, ja XNUMX %:ssa järjestelmistä ei ollut mahdollista määrittää käytettävää versionumeroa.
GitLab-palvelinten ylläpitäjien huolimaton asenne päivitysten asentamiseen johti siihen, että haavoittuvuutta alkoivat aktiivisesti hyödyntää hyökkääjät, jotka alkoivat sijoittaa palvelimille haittaohjelmia ja yhdistää ne DDoS-hyökkäyksiin osallistuvan botnet-verkon työhön. Huipussaan haavoittuviin GitLab-palvelimiin perustuvan bottiverkon tuottaman DDoS-hyökkäyksen aikana liikenteen määrä oli 1 terabitti sekunnissa.
Haavoittuvuus johtuu ladattujen kuvatiedostojen virheellisestä käsittelystä ExifTool-kirjastoon perustuvan ulkoisen jäsentimen toimesta. ExifToolin (CVE-2021-22204) haavoittuvuus mahdollisti mielivaltaisten komentojen suorittamisen järjestelmässä jäsennettäessä metatietoja DjVu-muodossa olevista tiedostoista: (metadata (Tekijänoikeus "\ " . qx{kaikutesti >/tmp/test} . \ "b") )
Lisäksi, koska todellinen muoto määritettiin ExifToolissa MIME-sisältötyypin eikä tiedostotunnisteen perusteella, hyökkääjä saattoi ladata DjVu-asiakirjan, jossa oli hyväksikäyttö tavallisen JPG- tai TIFF-kuvan varjolla (GitLab kutsuu ExifToolia kaikille tiedostoille, joissa on jpg, jpeg-laajennukset ja tiff tarpeettomien tunnisteiden puhdistamiseen). Esimerkki hyväksikäytöstä. GitLab CE:n oletuskokoonpanossa hyökkäys voidaan suorittaa lähettämällä kaksi pyyntöä, jotka eivät vaadi todennusta.
GitLabin käyttäjiä suositellaan varmistamaan, että he käyttävät nykyistä versiota, ja jos he käyttävät vanhentunutta versiota, asentamaan päivitykset välittömästi, ja jos tämä ei jostain syystä ole mahdollista, asentamaan valikoivasti haavoittuvuuden estävän korjaustiedoston. Korjaamattomien järjestelmien käyttäjiä kehotetaan myös varmistamaan, että heidän järjestelmänsä ei vaarannu analysoimalla lokit ja tarkistamalla epäilyttävien hyökkääjien tilit (esimerkiksi dexbcx, dexbcx818, dexbcxh, dexbcxi ja dexbcxa99).
Lähde: opennet.ru