GitLab ir brīdinājis lietotājus par ļaunprātīgu darbību pieaugumu, kas saistīts ar kritiskās ievainojamības CVE-2021-22205 izmantošanu, kas ļauj attālināti izpildīt savu kodu bez autentifikācijas serverī, kas izmanto GitLab sadarbības izstrādes platformu.
Problēma pastāv GitLab kopš versijas 11.9, un tā tika novērsta aprīlī GitLab izlaidumos 13.10.3, 13.9.6 un 13.8.8. Tomēr, spriežot pēc 31. oktobrī veiktā globālā tīkla, kurā ir 60 50 publiski pieejamu GitLab gadījumu, skenēšanas, 21% sistēmu turpina izmantot novecojušas GitLab versijas, kuras ir jutīgas pret ievainojamībām. Nepieciešamie atjauninājumi tika instalēti tikai 29% pārbaudīto serveru, un XNUMX% sistēmu nebija iespējams noteikt izmantotās versijas numuru.
GitLab serveru administratoru neuzmanīgā attieksme pret atjauninājumu instalēšanu noveda pie tā, ka ievainojamību sāka aktīvi izmantot uzbrucēji, kuri sāka serveros izvietot ļaunprātīgu programmatūru un savienot tās ar robottīkla darbu, kas piedalās DDoS uzbrukumos. Savā maksimumā trafika apjoms DDoS uzbrukuma laikā, ko ģenerēja robottīkls, kura pamatā ir neaizsargāti GitLab serveri, sasniedza 1 terabitu sekundē.
Ievainojamību izraisa nepareiza lejupielādēto attēlu failu apstrāde, ko veic ārējs parsētājs, kura pamatā ir ExifTool bibliotēka. ExifTool (CVE-2021-22204) ievainojamība ļāva sistēmā izpildīt patvaļīgas komandas, parsējot metadatus no failiem DjVu formātā: (metadati (Autortiesības "\ " . qx{echo test >/tmp/test} . \ "b"))
Turklāt, tā kā faktisko formātu programmā ExifTool noteica MIME satura tips, nevis faila paplašinājums, uzbrucējs varēja lejupielādēt DjVu dokumentu ar ekspluatāciju parasta JPG vai TIFF attēla aizsegā (GitLab izsauc ExifTool visiem failiem ar jpg, jpeg paplašinājumi un tiff, lai notīrītu nevajadzīgos tagus). Ekspluatācijas piemērs. GitLab CE noklusējuma konfigurācijā uzbrukumu var veikt, nosūtot divus pieprasījumus, kuriem nav nepieciešama autentifikācija.
GitLab lietotājiem ieteicams pārliecināties, ka viņi izmanto pašreizējo versiju, un, ja viņi izmanto novecojušu laidienu, nekavējoties instalēt atjauninājumus un, ja kāda iemesla dēļ tas nav iespējams, selektīvi lietot ielāpu, kas bloķē ievainojamību. Neielādētu sistēmu lietotājiem ir arī ieteicams nodrošināt, lai viņu sistēma netiktu apdraudēta, analizējot žurnālus un pārbaudot, vai nav aizdomīgu uzbrucēju kontu (piemēram, dexbcx, dexbcx818, dexbcxh, dexbcxi un dexbcxa99).
Avots: opennet.ru