GitLab har advart brukere om en økning i ondsinnet aktivitet relatert til utnyttelse av den kritiske sårbarheten CVE-2021-22205, som tillater ekstern kjøring av kode uten autentisering på en server som bruker GitLabs samarbeidsutviklingsplattform.
Problemet har vært tilstede i GitLab siden versjon 11.9 og ble løst tilbake i april med GitLab-utgivelsene 13.10.3, 13.9.6 og 13.8.8. Imidlertid, ifølge en global nettverksskanning av 31 60 offentlig tilgjengelige GitLab-forekomster utført 50. oktober, fortsetter 21 % av systemene å bruke utdaterte versjoner av GitLab som er utsatt for sårbarheter. Bare 29 % av serverne som ble testet hadde de nødvendige oppdateringene installert, og XNUMX % av systemene klarte ikke å fastslå hvilket versjonsnummer de brukte.
Den uaktsomme holdningen til serveradministratorer fra GitLab til å installere oppdateringer førte til at sårbarheten begynte å bli aktivt utnyttet av angripere som begynte å plassere skadevare på servere og koble dem til arbeidet til et botnett involvert i DDoS-angrep. På det meste nådde trafikkvolumet under et DDoS-angrep generert av et botnett basert på sårbare GitLab-servere 1 terabit per sekund.
Sårbarheten er forårsaket av feil behandling av opplastede bildefiler av en ekstern parser basert på ExifTool-biblioteket. Sårbarhet i ExifTool (CVE-2021-22204) tillot at vilkårlige kommandoer ble utført på systemet ved parsing av metadata fra DjVu-filer: (metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ " b ") )
På samme tid, siden det faktiske formatet ble bestemt i ExifTool av MIME-innholdstypen, og ikke filtypen, kunne angriperen laste ned et DjVu-dokument med en utnyttelse under dekke av et vanlig JPG- eller TIFF-bilde (GitLab kaller ExifTool for alle filer med filtypene jpg, jpeg og tiff for å rydde opp i ekstra tagger). Utnytte eksempel. I standardkonfigurasjonen til GitLab CE kan angrepet utføres ved å sende to forespørsler som ikke krever autentisering.
GitLab-brukere rådes til å forsikre seg om at de bruker den nyeste versjonen og, hvis de bruker en utdatert utgivelse, raskt installere oppdateringer, og hvis dette ikke er mulig av en eller annen grunn, selektivt bruke en patch som blokkerer manifestasjonen av sårbarheten. Brukere av ikke-oppdaterte systemer anbefales også å sørge for at systemet deres ikke blir kompromittert ved å analysere loggene og se etter mistenkelige angriperkontoer (f.eks. dexbcx, dexbcx818, dexbcxh, dexbcxi og dexbcxa99).
Kilde: opennet.ru