GitLab a avertizat utilizatorii cu privire la o creștere a activității rău intenționate legate de exploatarea vulnerabilității critice CVE-2021-22205, care le permite să-și execute de la distanță codul fără autentificare pe un server care utilizează platforma de dezvoltare colaborativă GitLab.
Problema este prezentă în GitLab începând cu versiunea 11.9 și a fost remediată în aprilie în versiunile GitLab 13.10.3, 13.9.6 și 13.8.8. Cu toate acestea, judecând după o scanare din 31 octombrie a unei rețele globale de 60 de instanțe GitLab disponibile public, 50% dintre sisteme continuă să utilizeze versiuni învechite de GitLab care sunt susceptibile la vulnerabilități. Actualizările necesare au fost instalate doar pe 21% dintre serverele testate, iar pe 29% dintre sisteme nu a fost posibil să se determine numărul versiunii utilizate.
Atitudinea neglijentă a administratorilor de servere GitLab față de instalarea actualizărilor a dus la faptul că vulnerabilitatea a început să fie exploatată activ de către atacatori, care au început să plaseze malware pe servere și să le conecteze la activitatea unei rețele botne care participa la atacuri DDoS. La apogeul său, volumul de trafic în timpul unui atac DDoS generat de o rețea botnet bazată pe servere GitLab vulnerabile a ajuns la 1 terabiți pe secundă.
Vulnerabilitatea este cauzată de procesarea incorectă a fișierelor de imagine descărcate de către un parser extern bazat pe biblioteca ExifTool. O vulnerabilitate din ExifTool (CVE-2021-22204) permitea executarea de comenzi arbitrare în sistem la analizarea metadatelor din fișiere în format DjVu: (metadate (Copyright „\ ” . qx{echo test >/tmp/test} . \ „b”))
Mai mult, deoarece formatul real a fost determinat în ExifTool de tipul de conținut MIME și nu de extensia fișierului, atacatorul ar putea descărca un document DjVu cu un exploit sub masca unei imagini JPG sau TIFF obișnuite (GitLab apelează ExifTool pentru toate fișierele cu jpg, extensii jpeg și tiff pentru a curăța etichetele inutile). Un exemplu de exploatare. În configurația implicită a GitLab CE, un atac poate fi efectuat prin trimiterea a două solicitări care nu necesită autentificare.
Utilizatorilor GitLab li se recomandă să se asigure că folosesc versiunea curentă și, dacă folosesc o versiune învechită, să instaleze imediat actualizări și, dacă din anumite motive acest lucru nu este posibil, să aplice selectiv un patch care blochează vulnerabilitatea. Utilizatorii sistemelor nepatchate sunt, de asemenea, sfătuiți să se asigure că sistemul lor nu este compromis analizând jurnalele și verificând dacă există conturi de atacatori suspecte (de exemplu, dexbcx, dexbcx818, dexbcxh, dexbcxi și dexbcxa99).
Sursa: opennet.ru