GitLab ha avvisato gli utenti di un aumento di attività dannose legate allo sfruttamento della vulnerabilità critica CVE-2021-22205, che consente loro di eseguire in remoto il proprio codice senza autenticazione su un server che utilizza la piattaforma di sviluppo collaborativo GitLab.
Il problema è presente in GitLab dalla versione 11.9 ed è stato risolto ad aprile nelle versioni GitLab 13.10.3, 13.9.6 e 13.8.8. Tuttavia, a giudicare da una scansione del 31 ottobre di una rete globale di 60 istanze GitLab disponibili pubblicamente, il 50% dei sistemi continua a utilizzare versioni obsolete di GitLab suscettibili a vulnerabilità. Gli aggiornamenti necessari sono stati installati solo sul 21% dei server testati e sul 29% dei sistemi non è stato possibile determinare il numero di versione utilizzata.
L'atteggiamento negligente degli amministratori dei server GitLab nei confronti dell'installazione degli aggiornamenti ha portato al fatto che la vulnerabilità ha iniziato a sfruttare attivamente gli aggressori, che hanno iniziato a posizionare malware sui server e a collegarli al lavoro di una botnet che partecipa agli attacchi DDoS. Al suo apice, il volume del traffico durante un attacco DDoS generato da una botnet basata su server GitLab vulnerabili ha raggiunto 1 terabit al secondo.
La vulnerabilità è causata dall'elaborazione errata dei file di immagine scaricati da parte di un parser esterno basato sulla libreria ExifTool. Una vulnerabilità in ExifTool (CVE-2021-22204) consentiva l'esecuzione di comandi arbitrari nel sistema durante l'analisi dei metadati dai file nel formato DjVu: (metadati (Copyright "\ " . qx{echo test >/tmp/test} . \ " B ") )
Inoltre, poiché in ExifTool il formato effettivo è determinato dal tipo di contenuto MIME e non dall'estensione del file, l'aggressore potrebbe scaricare un documento DjVu con un exploit sotto le spoglie di una normale immagine JPG o TIFF (GitLab chiama ExifTool per tutti i file con jpg, estensioni jpeg e tiff per eliminare i tag non necessari). Un esempio di exploit. Nella configurazione predefinita di GitLab CE è possibile effettuare un attacco inviando due richieste che non richiedono autenticazione.
Si consiglia agli utenti di GitLab di assicurarsi di utilizzare la versione corrente e, se utilizzano una versione obsoleta, di installare immediatamente gli aggiornamenti e, se per qualche motivo ciò non è possibile, di applicare selettivamente una patch che blocchi la vulnerabilità. Si consiglia inoltre agli utenti di sistemi senza patch di assicurarsi che il proprio sistema non venga compromesso analizzando i registri e controllando gli account sospetti degli aggressori (ad esempio, dexbcx, dexbcx818, dexbcxh, dexbcxi e dexbcxa99).
Fonte: opennet.ru