GitLab-ը զգուշացրել է օգտատերերին չարամիտ գործունեության աճի մասին՝ կապված CVE-2021-22205 կարևոր խոցելիության շահագործման հետ, որը թույլ է տալիս նրանց հեռակա կարգով կատարել իրենց կոդը՝ առանց նույնականացման սերվերի վրա, որն օգտագործում է GitLab համագործակցային զարգացման հարթակը:
Խնդիրը առկա է GitLab-ում 11.9 տարբերակից և շտկվել է դեռ ապրիլին GitLab 13.10.3, 13.9.6 և 13.8.8 թողարկումներում: Այնուամենայնիվ, դատելով հոկտեմբերի 31-ին հանրությանը հասանելի GitLab-ի 60 գլոբալ ցանցի սկանավորումից, համակարգերի 50%-ը շարունակում է օգտագործել GitLab-ի հնացած տարբերակները, որոնք ենթակա են խոցելիության: Պահանջվող թարմացումները տեղադրվել են փորձարկված սերվերների միայն 21%-ի վրա, իսկ համակարգերի 29%-ի վրա հնարավոր չի եղել որոշել օգտագործվող տարբերակի համարը։
GitLab սերվերի ադմինիստրատորների անփույթ վերաբերմունքը թարմացումների տեղադրման նկատմամբ հանգեցրեց նրան, որ խոցելիությունը սկսեց ակտիվորեն շահագործվել հարձակվողների կողմից, որոնք սկսեցին չարամիտ ծրագրեր տեղադրել սերվերների վրա և միացնել դրանք DDoS հարձակումներին մասնակցող բոտնետի աշխատանքին: Իր գագաթնակետին, խոցելի GitLab սերվերների վրա հիմնված բոտնետի կողմից ստեղծված DDoS հարձակման ժամանակ տրաֆիկի ծավալը հասնում էր վայրկյանում 1 տերաբիթ:
Խոցելիությունը պայմանավորված է ExifTool գրադարանի վրա հիմնված արտաքին վերլուծիչի կողմից ներբեռնված պատկերային ֆայլերի սխալ մշակմամբ: ExifTool-ում (CVE-2021-22204) խոցելիությունը թույլ է տվել համակարգում կամայական հրամաններ կատարել DjVu ձևաչափով ֆայլերից մետատվյալները վերլուծելիս. «բ»))
Ավելին, քանի որ իրական ձևաչափը որոշվում էր ExifTool-ում MIME-ի բովանդակության տեսակով, և ոչ թե ֆայլի ընդլայնմամբ, հարձակվողը կարող էր ներբեռնել DjVu փաստաթուղթը շահագործմամբ սովորական JPG կամ TIFF պատկերի քողի տակ (GitLab-ը կանչում է ExifTool բոլոր ֆայլերի համար jpg, jpeg ընդլայնումներ և tiff՝ ավելորդ պիտակները մաքրելու համար): Շահագործման օրինակ. GitLab CE-ի լռելյայն կազմաձևում հարձակումը կարող է իրականացվել՝ ուղարկելով երկու հարցում, որոնք չեն պահանջում նույնականացում:
GitLab-ի օգտատերերին խորհուրդ է տրվում համոզվել, որ օգտագործում են ընթացիկ տարբերակը և, եթե օգտագործում են հնացած թողարկում, անմիջապես տեղադրել թարմացումներ, իսկ եթե ինչ-ինչ պատճառներով դա հնարավոր չէ, ընտրովի կիրառել խոցելիությունը արգելափակող կարկատել: Չկարկատված համակարգերի օգտատերերին նաև խորհուրդ է տրվում համոզվել, որ իրենց համակարգը վտանգված չէ՝ վերլուծելով տեղեկամատյանները և ստուգելով կասկածելի հարձակվողների հաշիվները (օրինակ՝ dexbcx, dexbcx818, dexbcxh, dexbcxi և dexbcxa99):
Source: opennet.ru