GitLab je upozorio korisnike na povećanje zlonamjernih aktivnosti povezanih s iskorištavanjem kritične ranjivosti CVE-2021-22205, koja im omogućuje daljinsko izvršavanje koda bez autentifikacije na poslužitelju koji koristi platformu za kolaborativni razvoj GitLab.
Problem je prisutan u GitLabu od verzije 11.9 i riješen je još u travnju u izdanjima GitLaba 13.10.3, 13.9.6 i 13.8.8. Međutim, sudeći prema skeniranju globalne mreže od 31 javno dostupnih instanci GitLaba od 60. listopada, 50% sustava i dalje koristi zastarjele verzije GitLaba koje su osjetljive na ranjivosti. Potrebna ažuriranja instalirana su na samo 21% testiranih poslužitelja, a na 29% sustava nije bilo moguće utvrditi broj verzije koja se koristi.
Nemaran odnos administratora GitLab poslužitelja prema instaliranju ažuriranja doveo je do činjenice da su ranjivost počeli aktivno iskorištavati napadači, koji su počeli postavljati zlonamjerni softver na poslužitelje i povezivati ih s radom botneta koji sudjeluje u DDoS napadima. Na svom vrhuncu, količina prometa tijekom DDoS napada koji je generirao botnet temeljen na ranjivim GitLab poslužiteljima dosegla je 1 terabit u sekundi.
Ranjivost je uzrokovana neispravnom obradom preuzetih slikovnih datoteka od strane vanjskog parsera temeljenog na biblioteci ExifTool. Ranjivost u ExifToolu (CVE-2021-22204) dopuštala je izvršavanje proizvoljnih naredbi u sustavu prilikom raščlanjivanja metapodataka iz datoteka u DjVu formatu: (metapodaci (Autorsko pravo "\ " . qx{echo test >/tmp/test} . \ " b "))
Štoviše, budući da je stvarni format određen u ExifToolu vrstom MIME sadržaja, a ne ekstenzijom datoteke, napadač je mogao preuzeti DjVu dokument s eksploatacijom pod krinkom obične JPG ili TIFF slike (GitLab poziva ExifTool za sve datoteke s jpg, jpeg proširenja i tiff za čišćenje nepotrebnih oznaka). Primjer iskorištavanja. U zadanoj konfiguraciji GitLab CE, napad se može izvesti slanjem dva zahtjeva koji ne zahtijevaju autentifikaciju.
Korisnicima GitLaba preporučuje se da osiguraju da koriste trenutnu verziju i da, ako koriste zastarjelo izdanje, odmah instaliraju ažuriranja, a ako iz nekog razloga to nije moguće, selektivno primijene zakrpu koja blokira ranjivost. Korisnicima nezakrpanih sustava također se savjetuje da osiguraju da njihov sustav nije ugrožen analizom zapisa i provjerom sumnjivih računa napadača (na primjer, dexbcx, dexbcx818, dexbcxh, dexbcxi i dexbcxa99).
Izvor: opennet.ru