GitLab telah memberi amaran kepada pengguna tentang peningkatan dalam aktiviti berniat jahat yang berkaitan dengan eksploitasi kerentanan kritikal CVE-2021-22205, yang membolehkan mereka melaksanakan kod mereka dari jauh tanpa pengesahan pada pelayan yang menggunakan platform pembangunan kolaboratif GitLab.
Isu ini telah wujud dalam GitLab sejak versi 11.9 dan telah dibetulkan semula pada bulan April dalam keluaran GitLab 13.10.3, 13.9.6 dan 13.8.8. Walau bagaimanapun, berdasarkan imbasan rangkaian global 31 contoh GitLab yang tersedia secara umum pada 60 Oktober, 50% sistem terus menggunakan versi GitLab lapuk yang terdedah kepada kelemahan. Kemas kini yang diperlukan telah dipasang pada hanya 21% daripada pelayan yang diuji, dan pada 29% sistem tidak mungkin untuk menentukan nombor versi yang digunakan.
Sikap cuai pentadbir pelayan GitLab untuk memasang kemas kini membawa kepada fakta bahawa kelemahan itu mula dieksploitasi secara aktif oleh penyerang, yang mula meletakkan perisian hasad pada pelayan dan menyambungkannya kepada kerja botnet yang mengambil bahagian dalam serangan DDoS. Pada kemuncaknya, jumlah trafik semasa serangan DDoS yang dijana oleh botnet berdasarkan pelayan GitLab yang terdedah mencapai 1 terabit sesaat.
Kerentanan disebabkan oleh pemprosesan fail imej yang dimuat turun yang salah oleh penghurai luaran berdasarkan pustaka ExifTool. Kerentanan dalam ExifTool (CVE-2021-22204) membenarkan arahan sewenang-wenangnya dilaksanakan dalam sistem apabila menghuraikan metadata daripada fail dalam format DjVu: (metadata (Hak Cipta "\ " . qx{echo test >/tmp/test} . \ " b "))
Selain itu, kerana format sebenar ditentukan dalam ExifTool oleh jenis kandungan MIME, dan bukan sambungan fail, penyerang boleh memuat turun dokumen DjVu dengan eksploitasi di bawah nama imej JPG atau TIFF biasa (GitLab memanggil ExifTool untuk semua fail dengan jpg, sambungan jpeg dan tiff untuk membersihkan teg yang tidak diperlukan). Contoh eksploitasi. Dalam konfigurasi lalai GitLab CE, serangan boleh dilakukan dengan menghantar dua permintaan yang tidak memerlukan pengesahan.
Pengguna GitLab disyorkan untuk memastikan bahawa mereka menggunakan versi semasa dan, jika mereka menggunakan keluaran lapuk, segera memasang kemas kini, dan jika atas sebab tertentu ini tidak mungkin, gunakan tampung yang menyekat kelemahan secara terpilih. Pengguna sistem yang tidak ditambal juga dinasihatkan supaya memastikan sistem mereka tidak terjejas dengan menganalisis log dan menyemak akaun penyerang yang mencurigakan (contohnya, dexbcx, dexbcx818, dexbcxh, dexbcxi dan dexbcxa99).
Sumber: opennet.ru