GitLab advertiu aos usuarios sobre un aumento da actividade maliciosa relacionada coa explotación da vulnerabilidade crítica CVE-2021-22205, que lles permite executar de forma remota o seu código sen autenticación nun servidor que utiliza a plataforma de desenvolvemento colaborativo GitLab.
O problema está presente en GitLab desde a versión 11.9 e solucionouse en abril nas versións 13.10.3, 13.9.6 e 13.8.8 de GitLab. Non obstante, a xulgar por unha análise realizada o 31 de outubro dunha rede global de 60 instancias de GitLab dispoñibles publicamente, o 50% dos sistemas seguen utilizando versións obsoletas de GitLab susceptibles de sufrir vulnerabilidades. As actualizacións necesarias instaláronse só no 21% dos servidores probados e no 29% dos sistemas non foi posible determinar o número de versión que se estaba a utilizar.
A actitude descoidada dos administradores de servidores de GitLab ante a instalación de actualizacións levou a que a vulnerabilidade comezase a ser explotada activamente polos atacantes, que comezaron a colocar malware nos servidores e conectalos ao traballo dunha botnet que participaba en ataques DDoS. No seu pico, o volume de tráfico durante un ataque DDoS xerado por unha botnet baseada en servidores vulnerables de GitLab alcanzou 1 terabits por segundo.
A vulnerabilidade é causada polo procesamento incorrecto dos ficheiros de imaxe descargados por un analizador externo baseado na biblioteca ExifTool. Unha vulnerabilidade en ExifTool (CVE-2021-22204) permitiu que se executasen comandos arbitrarios no sistema ao analizar metadatos de ficheiros en formato DjVu: (metadatos (Copyright "\ " . qx{echo test >/tmp/test} . \ "b"))
Ademais, dado que o formato real estaba determinado en ExifTool polo tipo de contido MIME, e non pola extensión do ficheiro, o atacante podería descargar un documento DjVu cun exploit baixo o pretexto dunha imaxe JPG ou TIFF normal (GitLab chama a ExifTool para todos os ficheiros con jpg, extensións jpeg e tiff para limpar etiquetas innecesarias). Un exemplo de explotación. Na configuración predeterminada de GitLab CE, pódese realizar un ataque enviando dúas solicitudes que non requiren autenticación.
Recoméndase aos usuarios de GitLab que se aseguren de que están a usar a versión actual e, se están a usar unha versión desactualizada, que instalen de inmediato actualizacións e, se por algún motivo non é posible, apliquen selectivamente un parche que bloquee a vulnerabilidade. Tamén se aconsella aos usuarios de sistemas sen parches que se aseguren de que o seu sistema non se vexa comprometido analizando os rexistros e buscando contas de atacantes sospeitosas (por exemplo, dexbcx, dexbcx818, dexbcxh, dexbcxi e dexbcxa99).
Fonte: opennet.ru