GitLab нь CVE-2021-22205 чухал эмзэг байдлыг ашиглахтай холбоотой хортой үйл ажиллагаа нэмэгдэж байгааг GitLab хэрэглэгчдэд анхааруулсан бөгөөд энэ нь GitLab хамтын хөгжүүлэлтийн платформыг ашигладаг сервер дээр баталгаажуулалтгүйгээр кодыг алсаас ажиллуулах боломжийг олгодог.
Энэ асуудал GitLab-д 11.9 хувилбараас хойш гарч ирсэн бөгөөд 13.10.3-р сард GitLab-ийн 13.9.6, 13.8.8, 31 хувилбаруудад засварлагдсан. Гэсэн хэдий ч, 60-р сарын 50-нд олон нийтэд нээлттэй 21 GitLab инстанц бүхий дэлхийн сүлжээг сканнердсанаас харахад системийн 29% нь GitLab-ийн хуучирсан, эмзэг байдалд өртөмтгий хувилбаруудыг ашигласаар байна. Туршилтанд хамрагдсан серверүүдийн дөнгөж XNUMX% нь шаардлагатай шинэчлэлтүүдийг суулгасан бөгөөд системийн XNUMX% нь ашиглаж буй хувилбарын дугаарыг тодорхойлох боломжгүй байв.
GitLab серверийн администраторуудын шинэчлэлтүүдийг суулгахад хайхрамжгүй хандсан нь эмзэг байдлыг халдагчид идэвхтэй ашиглаж, серверүүд дээр хортой програм байрлуулж, DDoS халдлагад оролцдог ботнетийн ажилд холбож эхэлсэн. Оргил үедээ эмзэг GitLab серверүүд дээр суурилсан ботнетээс үүсгэсэн DDoS халдлагын үеэр хөдөлгөөний хэмжээ секундэд 1 терабитт хүрсэн байна.
Энэ эмзэг байдал нь ExifTool номын санд суурилсан гадны анализатор татаж авсан зургийн файлуудыг буруу боловсруулснаас үүдэлтэй. ExifTool (CVE-2021-22204)-ийн эмзэг байдал нь DjVu форматтай файлуудын мета өгөгдлийг задлан шинжилж байх үед системд дурын командуудыг гүйцэтгэх боломжийг олгосон: (мета өгөгдөл (Зохиогчийн эрх "\ " . qx{echo test >/tmp/test} . \ "б"))
Нэмж дурдахад, ExifTool-д файлын өргөтгөлөөр бус харин MIME агуулгын төрлөөр бодит форматыг тодорхойлсон тул халдагчид ердийн JPG эсвэл TIFF дүрсний дор мөлжлөг бүхий DjVu баримтыг татаж авч болно (GitLab бүх файлыг ExifTool гэж нэрлэдэг. jpg, jpeg өргөтгөлүүд болон tiff нь шаардлагагүй хаягуудыг цэвэрлэх). Ашиглалтын жишээ. GitLab CE-ийн анхдагч тохиргоонд баталгаажуулалт шаарддаггүй хоёр хүсэлтийг илгээх замаар халдлага хийж болно.
GitLab хэрэглэгчид одоогийн хувилбарыг ашиглаж байгаа эсэхээ баталгаажуулж, хуучирсан хувилбарыг ашиглаж байгаа бол шинэчлэлтүүдийг нэн даруй суулгаж, ямар нэг шалтгааны улмаас боломжгүй бол эмзэг байдлыг хаадаг нөхөөсийг сонгон хэрэглэхийг зөвлөж байна. Засварлагдаагүй системийн хэрэглэгчид бүртгэлд дүн шинжилгээ хийж, сэжигтэй халдагчийн бүртгэлийг (жишээлбэл, dexbcx, dexbcx818, dexbcxh, dexbcxi, dexbcxa99) шалгах замаар системээ эвдэхгүй байхыг зөвлөж байна.
Эх сурвалж: opennet.ru