Begryp fan kontrôle fan kwetsbere GitLab-tsjinners om mei te dwaan oan DDoS-oanfallen

GitLab hat brûkers warskôge oer in tanimming fan kweade aktiviteit yn ferbân mei de eksploitaasje fan 'e krityske kwetsberens CVE-2021-22205, wêrtroch se har koade op ôfstân kinne útfiere sûnder autentikaasje op in server dy't it GitLab-platfoarm foar gearwurkjende ûntwikkeling brûkt.

It probleem is oanwêzich yn GitLab sûnt ferzje 11.9 en waard yn april oplost yn GitLab 13.10.3, 13.9.6, en 13.8.8. Neffens in wrâldwide netwurkscan fan 60 iepenbier tagonklike GitLab-eksimplaren útfierd op 31 oktober, brûke 50% fan 'e systemen lykwols noch altyd ferâldere, kwetsbere GitLab-ferzjes. Mar 21% fan dyjingen dy't scanne binne, hawwe de nedige updates ynstalleare. servers, en op 29% fan 'e systemen wie it net mooglik om it brûkte ferzjenûmer te bepalen.

De sleauwichheid fan GitLab-serverbehearders oangeande it ynstallearjen fan updates late ta dat de kwetsberens aktyf eksploitearre waard troch oanfallers dy't it begûnen te pleatsen. servers malware en ferbine se mei in botnet dat belutsen is by DDoS-oanfallen. Op syn hichtepunt berikte it ferkearsvolume tidens in DDoS-oanfal generearre troch in botnet basearre op kwetsbere GitLab-tsjinners 1 terabit per sekonde.

De kwetsberens wurdt feroarsake troch ferkearde ferwurking fan ynladen ôfbyldingsbestannen troch in eksterne parser basearre op de ExifTool-bibleteek. In kwetsberens yn ExifTool (CVE-2021-22204) lieten willekeurige kommando's yn it systeem útfiere by it parsearjen fan metadata fan bestannen yn it DjVu-formaat: (metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ "b"))

Boppedat, om't it eigentlike formaat yn ExifTool bepaald waard troch it MIME-ynhâldtype, en net de bestânsútwreiding, koe de oanfaller in DjVu-dokumint downloade mei in eksploitaasje ûnder it mom fan in gewoane JPG- of TIFF-ôfbylding (GitLab neamt ExifTool foar alle bestannen mei jpg, jpeg-útwreidings en tiff om ûnnedige tags op te romjen). In foarbyld fan in eksploitaasje. Yn 'e standertkonfiguraasje fan GitLab CE kin in oanfal útfierd wurde troch twa fersiken te stjoeren dy't gjin ferifikaasje nedich binne.


Begryp fan kontrôle fan kwetsbere GitLab-tsjinners om mei te dwaan oan DDoS-oanfallen

GitLab-brûkers wurde oanrikkemandearre om te soargjen dat se de aktuele ferzje brûke en, as se in ferâldere release brûke, updates daliks ynstallearje, en as dit om ien of oare reden net mooglik is, selektyf in patch oan te passen dy't de kwetsberens blokkearret. Brûkers fan unpatched systemen wurde ek advisearre om te soargjen dat harren systeem net kompromittearre wurdt troch analysearjen fan de logs en kontrolearjen op fertochte oanfaller akkounts (Bygelyks, dexbcx, dexbcx818, dexbcxh, dexbcxi en dexbcxa99).

Boarne: opennet.ru

Keapje betroubere hosting foar siden mei DDoS-beskerming, VPS VDS-tsjinners 🔥 Keapje betroubere websidehosting mei DDoS-beskerming, VPS VDS-tsjinners | ProHoster