GitLab hefur varað notendur við aukningu á illgjarnri virkni sem tengist hagnýtingu á mikilvæga varnarleysinu CVE-2021-22205, sem gerir þeim kleift að keyra kóðann sinn fjarstýrt án auðkenningar á netþjóni sem notar GitLab samvinnuþróunarvettvanginn.
Málið hefur verið til staðar í GitLab frá útgáfu 11.9 og var lagað aftur í apríl í GitLab útgáfum 13.10.3, 13.9.6 og 13.8.8. Hins vegar, miðað við skönnun 31. október á alþjóðlegu neti 60 opinberlega aðgengilegra GitLab tilvika, halda 50% kerfa áfram að nota úreltar útgáfur af GitLab sem eru viðkvæmar fyrir veikleikum. Nauðsynlegar uppfærslur voru settar upp á aðeins 21% þeirra netþjóna sem prófaðir voru og á 29% kerfa var ekki hægt að ákvarða útgáfunúmerið sem notað var.
Kæruleysi stjórnenda GitLab netþjóna til að setja upp uppfærslur leiddi til þess að varnarleysið fór að vera virkt nýtt af árásarmönnum, sem fóru að setja spilliforrit á netþjónana og tengja þá við vinnu botnets sem tekur þátt í DDoS árásum. Þegar mest var náði umferðarmagnið við DDoS árás sem myndast af botneti byggt á viðkvæmum GitLab netþjónum 1 terabitum á sekúndu.
Varnarleysið stafar af rangri vinnslu á niðurhaluðum myndskrám af utanaðkomandi þáttara sem byggir á ExifTool bókasafninu. Varnarleysi í ExifTool (CVE-2021-22204) gerði kleift að framkvæma handahófskenndar skipanir í kerfinu við þáttun lýsigagna úr skrám á DjVu sniði: (lýsigögn (höfundarréttur "\ " . qx{echo test >/tmp/test} . \ "b"))
Þar að auki, þar sem raunverulegt snið var ákvarðað í ExifTool af MIME innihaldsgerðinni, en ekki skráarlengingunni, gat árásarmaðurinn hlaðið niður DjVu skjali með hagnýtingu í skjóli venjulegrar JPG eða TIFF mynd (GitLab kallar ExifTool fyrir allar skrár með jpg, jpeg viðbætur og tiff til að hreinsa upp óþarfa merki). Dæmi um misnotkun. Í sjálfgefna stillingu GitLab CE er hægt að framkvæma árás með því að senda tvær beiðnir sem krefjast ekki auðkenningar.
GitLab notendum er mælt með því að tryggja að þeir séu að nota núverandi útgáfu og, ef þeir eru að nota úrelta útgáfu, að setja upp uppfærslur strax, og ef það er af einhverjum ástæðum ekki mögulegt, að beita sértækt plástur sem hindrar varnarleysið. Notendum óuppfærðra kerfa er einnig bent á að tryggja að kerfið þeirra sé ekki í hættu með því að greina annálana og leita að grunsamlegum árásarreikningum (til dæmis dexbcx, dexbcx818, dexbcxh, dexbcxi og dexbcxa99).
Heimild: opennet.ru