GitLab は、GitLab 共同開発プラットフォームを使用するサーバー上で認証なしでリモートからコードを実行できる重大な脆弱性 CVE-2021-22205 の悪用に関連する悪意のあるアクティビティの増加についてユーザーに警告しました。
この問題は GitLab バージョン 11.9 以降に存在しており、13.10.3 月に GitLab リリース 13.9.6、13.8.8、および 31 で修正されました。 しかし、公開されている 60 個の GitLab インスタンスのグローバル ネットワークに対する 50 月 21 日のスキャンから判断すると、システムの 29% が脆弱性の影響を受けやすい古いバージョンの GitLab を使用し続けています。 必要なアップデートがインストールされたのはテスト対象のサーバーの XNUMX% のみで、システムの XNUMX% では使用されているバージョン番号を特定できませんでした。
アップデートのインストールに対する GitLab サーバー管理者の不注意な態度により、この脆弱性が攻撃者によって積極的に悪用され始め、サーバーにマルウェアを配置し、DDoS 攻撃に参加するボットネットの作業にサーバーを接続し始めました。 脆弱な GitLab サーバーをベースとしたボットネットによって生成された DDoS 攻撃中のトラフィック量は、ピーク時には 1 秒あたり XNUMX テラビットに達しました。
この脆弱性は、ExifTool ライブラリに基づく外部パーサーによる、ダウンロードされたイメージ ファイルの誤った処理によって引き起こされます。 ExifTool の脆弱性 (CVE-2021-22204) により、DjVu 形式のファイルからメタデータを解析するときに、システム内で任意のコマンドが実行される可能性がありました: (metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ " b "))
さらに、ExifTool では実際の形式がファイル拡張子ではなく MIME コンテンツ タイプによって決定されるため、攻撃者は通常の JPG または TIFF 画像を装ってエクスプロイトを含む DjVu ドキュメントをダウンロードする可能性があります (GitLab は、次のようなすべてのファイルに対して ExifTool を呼び出します)。 jpg、jpeg 拡張子、および不要なタグをクリーンアップする tiff)。 エクスプロイトの一例。 GitLab CE のデフォルト構成では、認証を必要としない XNUMX つのリクエストを送信することで攻撃を実行できます。
GitLab ユーザーは、現在のバージョンを使用していることを確認し、古いリリースを使用している場合はすぐにアップデートをインストールし、何らかの理由でこれが不可能な場合は、脆弱性をブロックするパッチを選択的に適用することをお勧めします。 パッチが適用されていないシステムのユーザーは、ログを分析し、疑わしい攻撃者アカウント (dexbcx、dexbcx818、dexbcxh、dexbcxi、dexbcxa99 など) をチェックして、システムが侵害されていないことを確認することもお勧めします。
出所: オープンネット.ru