GitLab пайдаланушыларды GitLab бірлескен әзірлеу платформасын іске қосатын серверде аутентификациясыз кодты қашықтан орындауға мүмкіндік беретін CVE-2021-22205 маңызды осалдықты пайдалануға байланысты шабуылдаушылар белсенділігінің артуы туралы ескертті.
Бұл мәселе GitLab жүйесінде 11.9 нұсқасынан бері бар және сәуір айында GitLab 13.10.3, 13.9.6 және 13.8.8 нұсқаларында түзетілген. Дегенмен, 31 қазанда жүргізілген 60 000 жалпыға қолжетімді GitLab даналарын жаһандық желілік сканерлеуге сәйкес, жүйелердің 50%-ы ескірген, осал GitLab нұсқаларын пайдалануды жалғастыруда. Тексерілгендердің тек 21%-ында қажетті жаңартулар орнатылған. серверлер, ал жүйелердің 29%-ында пайдаланылып жатқан нұсқа нөмірін анықтау мүмкін болмады.
GitLab сервер әкімшілерінің жаңартуларды орнатуға немқұрайлы қарауы осалдықты шабуылдаушылар белсенді түрде пайдаланып, оны орналастыра бастады. серверлер зиянды бағдарламаны жойып, оларды DDoS шабуылдарына қатысатын ботнетке қосыңыз. Ең жоғары деңгейде, осал GitLab серверлеріне негізделген ботнет жасаған DDoS шабуылы кезіндегі трафик көлемі секундына 1 терабитке жетті.
Осалдық ExifTool кітапханасына негізделген сыртқы парсердің жүктелген кескін файлдарын дұрыс емес өңдеуінен туындаған. ExifTool (CVE-2021-22204) бағдарламасындағы осалдық DjVu файлдарынан метадеректерді талдау кезінде кез келген жүйелік командалардың орындалуына мүмкіндік берді: (metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ " b ") )
Сонымен қатар, ExifTool бағдарламасында нақты формат файл кеңейтімімен емес, MIME мазмұн түрімен анықталғандықтан, шабуылдаушы эксплойтқа негізделген DjVu құжатын кәдімгі JPG немесе TIFF кескіні ретінде жасырып жүктей алады (GitLab қажетсіз тегтерді алып тастау үшін jpg, jpeg және tiff кеңейтімдері бар барлық файлдарда ExifTool шақырады). Эксплойт мысалы: GitLab CE әдепкі конфигурациясында шабуылды аутентификацияны қажет етпейтін екі сұраныс жіберу арқылы жүзеге асыруға болады.
GitLab пайдаланушыларына ең соңғы нұсқаны іске қосып жатқанына көз жеткізу ұсынылады. Егер олар ескірген нұсқаны пайдаланса, дереу жаңартуларды орнатуы керек. Егер бұл қандай да бір себептермен мүмкін болмаса, олар осалдықты бұғаттайтын патчты таңдамалы түрде қолдануы керек. Ескірген жүйелерді пайдаланушыларға журналдарды талдау және күдікті шабуылдаушы тіркелгілерін (мысалы, dexbcx, dexbcx818, dexbcxh, dexbcxi және dexbcxa99) тексеру арқылы жүйелерінің бұзылмағанын тексеру ұсынылады.
Ақпарат көзі: opennet.ru
