O GitLab alertou os usuários sobre um aumento de atividades maliciosas relacionadas à exploração da vulnerabilidade crítica CVE-2021-22205, que lhes permite executar remotamente seu código sem autenticação em um servidor que utiliza a plataforma de desenvolvimento colaborativo GitLab.
O problema está presente no GitLab desde a versão 11.9 e foi corrigido em abril nas versões 13.10.3, 13.9.6 e 13.8.8 do GitLab. No entanto, a julgar por uma verificação de 31 de outubro de uma rede global de 60 instâncias do GitLab disponíveis publicamente, 50% dos sistemas continuam a usar versões desatualizadas do GitLab que são suscetíveis a vulnerabilidades. As atualizações necessárias foram instaladas em apenas 21% dos servidores testados e em 29% dos sistemas não foi possível determinar o número da versão utilizada.
A atitude descuidada dos administradores do servidor GitLab em relação à instalação de atualizações fez com que a vulnerabilidade passasse a ser explorada ativamente por invasores, que passaram a colocar malware nos servidores e conectá-los ao trabalho de uma botnet participante de ataques DDoS. No auge, o volume de tráfego durante um ataque DDoS gerado por uma botnet baseada em servidores vulneráveis do GitLab atingiu 1 terabit por segundo.
A vulnerabilidade é causada pelo processamento incorreto de arquivos de imagem baixados por um analisador externo baseado na biblioteca ExifTool. Uma vulnerabilidade no ExifTool (CVE-2021-22204) permitiu que comandos arbitrários fossem executados no sistema ao analisar metadados de arquivos no formato DjVu: (metadados (Copyright "\ " . qx{echo test >/tmp/test} . \ " b ") )
Além disso, como o formato real foi determinado no ExifTool pelo tipo de conteúdo MIME, e não pela extensão do arquivo, o invasor poderia baixar um documento DjVu com um exploit sob o disfarce de uma imagem JPG ou TIFF normal (o GitLab chama ExifTool para todos os arquivos com jpg, extensões jpeg e tiff para limpar tags desnecessárias). Um exemplo de exploração. Na configuração padrão do GitLab CE, um ataque pode ser realizado enviando duas solicitações que não requerem autenticação.
Recomenda-se aos usuários do GitLab que garantam que estão usando a versão atual e, se estiverem usando uma versão desatualizada, instalem atualizações imediatamente e, se por algum motivo isso não for possível, apliquem seletivamente um patch que bloqueie a vulnerabilidade. Os usuários de sistemas sem patch também são aconselhados a garantir que seu sistema não seja comprometido, analisando os logs e verificando contas suspeitas de invasores (por exemplo, dexbcx, dexbcx818, dexbcxh, dexbcxi e dexbcxa99).
Fonte: opennet.ru