GitLab heeft gebruikers gewaarschuwd voor een toename van kwaadaardige activiteiten gerelateerd aan de exploitatie van de kritieke kwetsbaarheid CVE-2021-22205, waardoor ze hun code op afstand kunnen uitvoeren zonder authenticatie op een server die gebruik maakt van het GitLab collaboratieve ontwikkelingsplatform.
Het probleem is aanwezig in GitLab sinds versie 11.9 en werd in april opgelost in GitLab-releases 13.10.3, 13.9.6 en 13.8.8. Afgaande op een scan van 31 oktober van een wereldwijd netwerk van 60 publiekelijk beschikbare GitLab-instanties, blijft 50% van de systemen echter verouderde versies van GitLab gebruiken die gevoelig zijn voor kwetsbaarheden. Op slechts 21% van de geteste servers werden de vereiste updates geΓ―nstalleerd en op 29% van de systemen was het niet mogelijk om het gebruikte versienummer te achterhalen.
De onzorgvuldige houding van GitLab-serverbeheerders ten aanzien van het installeren van updates leidde ertoe dat de kwetsbaarheid actief werd uitgebuit door aanvallers, die malware op de servers begonnen te plaatsen en deze te verbinden met het werk van een botnet dat deelnam aan DDoS-aanvallen. Op zijn hoogtepunt bereikte het verkeersvolume tijdens een DDoS-aanval, gegenereerd door een botnet op basis van kwetsbare GitLab-servers, 1 terabit per seconde.
Het beveiligingslek wordt veroorzaakt door onjuiste verwerking van gedownloade afbeeldingsbestanden door een externe parser op basis van de ExifTool-bibliotheek. Door een kwetsbaarheid in ExifTool (CVE-2021-22204) konden willekeurige opdrachten in het systeem worden uitgevoerd bij het parseren van metagegevens uit bestanden in het DjVu-formaat: (metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ " B ") )
Omdat het daadwerkelijke formaat in ExifTool werd bepaald door het MIME-inhoudstype en niet door de bestandsextensie, kon de aanvaller bovendien een DjVu-document downloaden met een exploit onder het mom van een gewone JPG- of TIFF-afbeelding (GitLab roept ExifTool aan voor alle bestanden met jpg, jpeg-extensies en tiff om onnodige tags op te ruimen). Een voorbeeld van een exploit. In de standaardconfiguratie van GitLab CE kan een aanval worden uitgevoerd door twee verzoeken te verzenden waarvoor geen authenticatie vereist is.
GitLab-gebruikers wordt aangeraden ervoor te zorgen dat ze de huidige versie gebruiken en, als ze een verouderde release gebruiken, onmiddellijk updates te installeren, en als dit om de een of andere reden niet mogelijk is, selectief een patch toe te passen die de kwetsbaarheid blokkeert. Gebruikers van niet-gepatchte systemen wordt ook geadviseerd ervoor te zorgen dat hun systeem niet wordt aangetast door de logbestanden te analyseren en te controleren op verdachte accounts van aanvallers (bijvoorbeeld dexbcx, dexbcx818, dexbcxh, dexbcxi en dexbcxa99).
Bron: opennet.ru