GitLab пайдаланушыларды GitLab бірлескен әзірлеу платформасын пайдаланатын серверде аутентификациясыз өз кодтарын қашықтан орындауға мүмкіндік беретін CVE-2021-22205 сыни осалдығын пайдаланумен байланысты зиянды әрекеттің артуы туралы ескертті.
Мәселе GitLab жүйесінде 11.9 нұсқасынан бері бар және сәуір айында GitLab 13.10.3, 13.9.6 және 13.8.8 шығарылымдарында түзетілді. Дегенмен, 31 қазандағы жалпыға қолжетімді 60 50 GitLab даналарының жаһандық желісін сканерлеуге қарағанда, жүйелердің 21%-ы GitLab-тың осалдықтарға бейім ескірген нұсқаларын пайдалануды жалғастыруда. Қажетті жаңартулар сынақтан өткен серверлердің тек 29% -ында орнатылды, ал жүйелердің XNUMX% -ында қолданылатын нұсқа нөмірін анықтау мүмкін болмады.
GitLab сервер әкімшілерінің жаңартуларды орнатуға немқұрайлы қатынасы осалдықты шабуылдаушылар белсенді түрде пайдалана бастады, олар серверлерге зиянды бағдарламаларды орналастыра бастады және оларды DDoS шабуылдарына қатысатын ботнет жұмысына қоса бастады. Ең жоғары деңгейде осал GitLab серверлеріне негізделген ботнет арқылы жасалған DDoS шабуылы кезінде трафик көлемі секундына 1 терабитке жетті.
Осалдық ExifTool кітапханасына негізделген сыртқы талдаушының жүктеп алынған кескін файлдарын дұрыс өңдемеуінен туындайды. ExifTool (CVE-2021-22204) осалдығы DjVu пішіміндегі файлдардан метадеректерді талдау кезінде жүйеде ерікті пәрмендерді орындауға мүмкіндік берді: (метадеректер (авторлық құқық "\ " . qx{echo test >/tmp/test} . \ "б"))
Сонымен қатар, нақты пішім ExifTool бағдарламасында файл кеңейтімімен емес, MIME мазмұн түрімен анықталғандықтан, шабуылдаушы кәдімгі JPG немесе TIFF кескінінің астында эксплойтпен DjVu құжатын жүктеп ала алады (GitLab барлық файлдар үшін ExifTool шақырады. jpg, jpeg кеңейтімдері және қажетсіз тегтерді тазалау үшін tiff). Эксплуатацияның мысалы. GitLab CE әдепкі конфигурациясында аутентификацияны қажет етпейтін екі сұрау жіберу арқылы шабуыл жасалуы мүмкін.
GitLab пайдаланушыларына ағымдағы нұсқаны пайдаланып жатқанына көз жеткізіп, ескірген шығарылымды пайдаланса, жаңартуларды дереу орнату, ал қандай да бір себептермен бұл мүмкін болмаса, осалдықты блоктайтын патчты таңдап қолдану ұсынылады. Сондай-ақ, түзетілмеген жүйелерді пайдаланушыларға журналдарды талдау және күдікті шабуылдаушы тіркелгілерін (мысалы, dexbcx, dexbcx818, dexbcxh, dexbcxi және dexbcxa99) тексеру арқылы олардың жүйесінің бұзылмауын қамтамасыз ету ұсынылады.
Ақпарат көзі: opennet.ru