GitLab a averti les utilisateurs d'une augmentation des activités malveillantes liées à l'exploitation de la vulnérabilité critique CVE-2021-22205, qui leur permet d'exécuter leur code à distance sans authentification sur un serveur utilisant la plateforme de développement collaboratif GitLab.
Le problème est présent dans GitLab depuis la version 11.9 et a été corrigé en avril dans les versions 13.10.3, 13.9.6 et 13.8.8 de GitLab. Cependant, à en juger par une analyse réalisée le 31 octobre sur un réseau mondial de 60 50 instances GitLab accessibles au public, 21 % des systèmes continuent d'utiliser des versions obsolètes de GitLab qui sont sensibles aux vulnérabilités. Les mises à jour requises n'ont été installées que sur 29 % des serveurs testés et sur XNUMX % des systèmes, il n'a pas été possible de déterminer le numéro de version utilisé.
L'attitude négligente des administrateurs de serveurs GitLab lors de l'installation des mises à jour a conduit au fait que la vulnérabilité a commencé à être activement exploitée par des attaquants, qui ont commencé à placer des logiciels malveillants sur les serveurs et à les connecter au travail d'un botnet participant à des attaques DDoS. À son apogée, le volume de trafic lors d'une attaque DDoS générée par un botnet basé sur des serveurs GitLab vulnérables a atteint 1 térabits par seconde.
La vulnérabilité est causée par un traitement incorrect des fichiers image téléchargés par un analyseur externe basé sur la bibliothèque ExifTool. Une vulnérabilité dans ExifTool (CVE-2021-22204) permettait l'exécution de commandes arbitraires dans le système lors de l'analyse des métadonnées de fichiers au format DjVu : (métadonnées (Copyright "\ " . qx{echo test >/tmp/test} . \ " b ") )
De plus, étant donné que le format réel était déterminé dans ExifTool par le type de contenu MIME, et non par l'extension du fichier, l'attaquant pourrait télécharger un document DjVu avec un exploit sous le couvert d'une image JPG ou TIFF standard (GitLab appelle ExifTool pour tous les fichiers avec jpg, extensions jpeg et tiff pour nettoyer les balises inutiles). Un exemple d'exploit. Dans la configuration par défaut de GitLab CE, une attaque peut être menée en envoyant deux requêtes ne nécessitant pas d'authentification.
Il est recommandé aux utilisateurs de GitLab de s'assurer qu'ils utilisent la version actuelle et, s'ils utilisent une version obsolète, d'installer immédiatement les mises à jour et, si pour une raison quelconque cela n'est pas possible, d'appliquer de manière sélective un correctif qui bloque la vulnérabilité. Il est également conseillé aux utilisateurs de systèmes non corrigés de s'assurer que leur système n'est pas compromis en analysant les journaux et en recherchant les comptes d'attaquants suspects (par exemple, dexbcx, dexbcx818, dexbcxh, dexbcxi et dexbcxa99).
Source: opennet.ru