GitLab ostrzegł użytkowników o wzroście szkodliwej aktywności związanej z wykorzystaniem krytycznej luki CVE-2021-22205, która umożliwia im zdalne wykonanie kodu bez uwierzytelniania na serwerze korzystającym z platformy wspólnego programowania GitLab.
Problem występuje w GitLab od wersji 11.9 i został naprawiony w kwietniu w wersjach GitLab 13.10.3, 13.9.6 i 13.8.8. Jednak sądząc po skanowaniu globalnej sieci składającej się z 31 60 publicznie dostępnych instancji GitLab przeprowadzonym 50 października, 21% systemów w dalszym ciągu korzysta z przestarzałych wersji GitLab, które są podatne na luki w zabezpieczeniach. Wymagane aktualizacje zostały zainstalowane jedynie na 29% testowanych serwerów, a na XNUMX% systemów nie było możliwe określenie używanego numeru wersji.
Nieostrożne podejście administratorów serwerów GitLab do instalowania aktualizacji doprowadziło do tego, że luka zaczęła być aktywnie wykorzystywana przez atakujących, którzy zaczęli umieszczać na serwerach szkodliwe oprogramowanie i podłączać je do pracy botnetu uczestniczącego w atakach DDoS. W szczytowym momencie natężenie ruchu podczas ataku DDoS generowanego przez botnet oparty na podatnych na ataki serwerach GitLab osiągnęło 1 terabajt na sekundę.
Przyczyną luki jest nieprawidłowe przetwarzanie pobranych plików obrazów przez zewnętrzny parser oparty na bibliotece ExifTool. Luka w ExifTool (CVE-2021-22204) umożliwiała wykonanie dowolnych poleceń w systemie podczas analizowania metadanych z plików w formacie DjVu: (metadata (Copyright "\ " .qx{echo test >/tmp/test} .\ " B ") )
Co więcej, ponieważ rzeczywisty format został określony w ExifTool na podstawie typu zawartości MIME, a nie rozszerzenia pliku, osoba atakująca może pobrać dokument DjVu z exploitem pod przykrywką zwykłego obrazu JPG lub TIFF (GitLab wywołuje ExifTool dla wszystkich plików z jpg, rozszerzenia jpeg i tiff, aby oczyścić niepotrzebne tagi). Przykład exploita. W domyślnej konfiguracji GitLab CE atak można przeprowadzić poprzez wysłanie dwóch żądań, które nie wymagają uwierzytelnienia.
Użytkownikom GitLaba zaleca się upewnienie się, że korzystają z aktualnej wersji, a w przypadku korzystania z wersji nieaktualnej natychmiastowe zainstalowanie aktualizacji, a jeśli z jakichś powodów nie jest to możliwe, selektywne zastosowanie łatki blokującej lukę. Użytkownikom systemów bez poprawek zaleca się również, aby upewnili się, że ich system nie został naruszony, analizując dzienniki i sprawdzając konta podejrzanych atakujących (na przykład dexbcx, dexbcx818, dexbcxh, dexbcxi i dexbcxa99).
Źródło: opennet.ru