DDoS တိုက်ခိုက်မှုများတွင် ပါဝင်ရန် အားနည်းချက်ရှိသော GitLab ဆာဗာများကို ထိန်းချုပ်ခြင်း

GitLab သည် GitLab ပူးပေါင်းဆောင်ရွက်သော ဆာဗာတွင် အထောက်အထားမခိုင်လုံဘဲ ၎င်းတို့၏ကုဒ်ကို အဝေးမှ လုပ်ဆောင်နိုင်စေသည့် အရေးကြီးသော အားနည်းချက် CVE-2021-22205 ကို အသုံးချခြင်းဆိုင်ရာ အန္တရာယ်ရှိသော လုပ်ဆောင်ချက် တိုးလာကြောင်း သုံးစွဲသူများအား သတိပေးထားသည်။

ဒီပြဿနာဟာ GitLab မှာ version 11.9 ကတည်းက ရှိနေခဲ့ပြီး ဧပြီလတုန်းက GitLab 13.10.3၊ 13.9.6 နဲ့ 13.8.8 တို့မှာ ပြင်ဆင်ပြီးပါပြီ။ ဒါပေမယ့် အောက်တိုဘာ ၃၁ ရက်နေ့မှာ ပြုလုပ်ခဲ့တဲ့ အများပြည်သူဝင်ရောက်ကြည့်ရှုနိုင်တဲ့ GitLab instances ၆၀,၀၀၀ ရဲ့ ကမ္ဘာလုံးဆိုင်ရာ network scan အရ စနစ် ၅၀% ဟာ ခေတ်မမီတော့တဲ့၊ အားနည်းချက်ရှိတဲ့ GitLab ဗားရှင်းတွေကို ဆက်လက်အသုံးပြုနေဆဲပါ။ scan ဖတ်ထားတဲ့သူတွေရဲ့ ၂၁% သာ လိုအပ်တဲ့ update တွေကို install လုပ်ထားကြပါတယ်။ ဆာဗာများနှင့် စနစ်များ၏ ၂၉% တွင် အသုံးပြုနေသော ဗားရှင်းနံပါတ်ကို ဆုံးဖြတ်ရန် မဖြစ်နိုင်ပါ။

GitLab server administrator များ၏ update များကို install လုပ်ရာတွင် ပေါ့ဆမှုကြောင့် attacker များက ၎င်းအားနည်းချက်ကို တက်ကြွစွာ အသုံးချခဲ့ကြသည်။ ဆာဗာများ malware များကို ဖော်ထုတ်ပြီး DDoS တိုက်ခိုက်မှုများတွင် ပါဝင်သော botnet နှင့် ချိတ်ဆက်ပေးသည်။ အထွတ်အထိပ်တွင်၊ အားနည်းချက်ရှိသော GitLab ဆာဗာများပေါ်တွင် အခြေခံသည့် botnet မှ ထုတ်ပေးသော DDoS တိုက်ခိုက်မှုအတွင်း ယာဉ်ကြောပိတ်ဆို့မှုပမာဏသည် တစ်စက္ကန့်လျှင် 1 terabit အထိ ရောက်ရှိခဲ့သည်။

အားနည်းချက်သည် ExifTool ဒစ်ဂျစ်တိုက်ကို အခြေခံ၍ ပြင်ပခွဲခြမ်းစိတ်ဖြာမှုဖြင့် ဒေါင်းလုဒ်လုပ်ထားသော ပုံဖိုင်များကို မှားယွင်းစွာ လုပ်ဆောင်ခြင်းကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ ExifTool (CVE-2021-22204) ရှိ အားနည်းချက်တစ်ခုသည် DjVu ဖော်မတ်ရှိ ဖိုင်များမှ မက်တာဒေတာကို ခွဲခြမ်းစိတ်ဖြာသည့်အခါ စနစ်အတွင်း မထင်မှတ်ထားသော အမိန့်များကို လုပ်ဆောင်နိုင်သည်- (မက်တာဒေတာ (မူပိုင်ခွင့် "\" . qx{echo test >/tmp/test} . \ "ခ"))

ထို့အပြင်၊ အမှန်တကယ်ဖော်မတ်ကို ExifTool တွင် MIME အကြောင်းအရာအမျိုးအစားမှမဟုတ်ဘဲ ဖိုင်တိုးချဲ့မှုမဟုတ်သောကြောင့်၊ တိုက်ခိုက်သူသည် ပုံမှန် JPG သို့မဟုတ် TIFF ရုပ်ပုံ၏အယောင်ဆောင်မှုအောက်တွင် အသုံးချမှုတစ်ခုဖြင့် DjVu စာရွက်စာတမ်းကို ဒေါင်းလုဒ်လုပ်နိုင်သည် (GitLab သည် ဖိုင်အားလုံးအတွက် ExifTool ဟုခေါ်သည် မလိုအပ်သော tags များကိုရှင်းလင်းရန် jpg၊ jpeg extension များနှင့် tiff)။ exploit ၏ ဥပမာတစ်ခု။ GitLab CE ၏ ပုံသေဖွဲ့စည်းပုံတွင်၊ အထောက်အထားစိစစ်ရန်မလိုအပ်သော တောင်းဆိုချက်နှစ်ခုကို ပေးပို့ခြင်းဖြင့် တိုက်ခိုက်ခြင်းကို လုပ်ဆောင်နိုင်သည်။

GitLab အသုံးပြုသူများသည် လက်ရှိဗားရှင်းကို အသုံးပြုနေပြီး ခေတ်မမီတော့သော ထုတ်ဝေမှုများကို အသုံးပြုနေပါက အပ်ဒိတ်များကို ချက်ချင်းထည့်သွင်းရန်နှင့် အကြောင်းတစ်ခုခုကြောင့် မဖြစ်နိုင်ပါက၊ အားနည်းချက်ကို ပိတ်ဆို့သည့် patch ကို ရွေးချယ်အသုံးပြုရန် GitLab အသုံးပြုသူများကို အကြံပြုထားသည်။ မပြင်ဆင်ရသေးသော စနစ်များ၏ အသုံးပြုသူများသည် မှတ်တမ်းများကို ခွဲခြမ်းစိတ်ဖြာပြီး သံသယဖြစ်ဖွယ် တိုက်ခိုက်သူအကောင့်များ (ဥပမာ၊ dexbcx၊ dexbcx818၊ dexbcxh၊ dexbcxi နှင့် dexbcxa99) ကို စစ်ဆေးခြင်းဖြင့် ၎င်းတို့၏စနစ်အား အလျှော့မပေးကြောင်း သေချာစေရန် အကြံပြုအပ်ပါသည်။

source: opennet.ru