A GitLab figyelmeztette a felhasználókat a CVE-2021-22205 kritikus biztonsági rés kihasználásával kapcsolatos rosszindulatú tevékenységek növekedésére, amely lehetővé teszi számukra, hogy távolról, hitelesítés nélkül végrehajtsák kódjukat a GitLab együttműködési fejlesztői platformját használó szerveren.
A probléma a 11.9-es verzió óta jelen van a GitLabban, és áprilisban javították a GitLab 13.10.3-as, 13.9.6-os és 13.8.8-as kiadásaiban. A 31 60 nyilvánosan elérhető GitLab példányból álló globális hálózat október 50-i vizsgálata alapján azonban a rendszerek 21%-a továbbra is a GitLab elavult verzióit használja, amelyek érzékenyek a sebezhetőségekre. A szükséges frissítéseket a tesztelt szerverek mindössze 29%-án telepítették, és a rendszerek XNUMX%-án nem lehetett meghatározni a használt verziószámot.
A GitLab szerveradminisztrátorok hanyag hozzáállása a frissítések telepítéséhez oda vezetett, hogy a sérülékenységet a támadók elkezdték aktívan kihasználni, és elkezdtek rosszindulatú programokat elhelyezni a szervereken, és összekapcsolni őket egy DDoS támadásokban részt vevő botnet munkájával. A sebezhető GitLab szervereken alapuló botnet által generált DDoS támadás során a forgalom csúcspontján elérte az 1 terabitet másodpercenként.
A sérülékenységet a letöltött képfájloknak az ExifTool könyvtáron alapuló külső elemző általi helytelen feldolgozása okozza. Az ExifTool (CVE-2021-22204) biztonsági rése tetszőleges parancsok végrehajtását tette lehetővé a rendszerben a DjVu formátumú fájlok metaadatainak elemzésekor: (metaadatok (Copyright "\ " . qx{echo test >/tmp/test} . \ "b") )
Ezen túlmenően, mivel az ExifToolban a tényleges formátumot a MIME tartalomtípusa határozta meg, nem pedig a fájl kiterjesztése, a támadó letölthet egy DjVu-dokumentumot exploittal egy normál JPG- vagy TIFF-kép leple alatt (a GitLab az ExifTool-t hívja meg minden olyan fájlnál, jpg, jpeg kiterjesztések és tiff a szükségtelen címkék eltávolításához). Példa a kizsákmányolásra. A GitLab CE alapértelmezett konfigurációjában két hitelesítést nem igénylő kérés elküldésével lehet támadást végrehajtani.
A GitLab-felhasználóknak azt javasoljuk, hogy győződjön meg arról, hogy az aktuális verziót használja, és ha elavult kiadást használ, azonnal telepítse a frissítéseket, és ha ez valamilyen oknál fogva nem lehetséges, akkor szelektíven telepítsenek egy, a sebezhetőséget blokkoló javítást. A javítatlan rendszerek felhasználóinak azt is tanácsoljuk, hogy a naplók elemzésével és a gyanús támadófiókok (például dexbcx, dexbcx818, dexbcxh, dexbcxi és dexbcxa99) ellenőrzésével gondoskodjanak arról, hogy rendszerük ne kerüljön veszélybe.
Forrás: opennet.ru