GitLab varoval používateľov pred nárastom zákernej aktivity súvisiacej so zneužitím kritickej zraniteľnosti CVE-2021-22205, ktorá im umožňuje na diaľku spúšťať svoj kód bez autentifikácie na serveri, ktorý využíva platformu spoločného vývoja GitLab.
Problém je prítomný v GitLab od verzie 11.9 a bol opravený v apríli vo vydaniach GitLab 13.10.3, 13.9.6 a 13.8.8. Podľa kontroly globálnej siete 31 60 verejne dostupných inštancií GitLab z 50. októbra však 21 % systémov naďalej používa zastarané verzie GitLab, ktoré sú náchylné na zraniteľnosti. Požadované aktualizácie boli nainštalované len na 29 % testovaných serverov a na XNUMX % systémov nebolo možné určiť číslo použitej verzie.
Neopatrný prístup administrátorov serverov GitLab k inštalácii aktualizácií viedol k tomu, že túto zraniteľnosť začali aktívne využívať útočníci, ktorí začali na servery umiestňovať malvér a spájali ich s prácou botnetu podieľajúceho sa na DDoS útokoch. Na svojom vrchole dosiahol objem prevádzky počas DDoS útoku generovaného botnetom založeným na zraniteľných serveroch GitLab 1 terabit za sekundu.
Zraniteľnosť je spôsobená nesprávnym spracovaním stiahnutých obrázkových súborov externým analyzátorom založeným na knižnici ExifTool. Zraniteľnosť v ExifTool (CVE-2021-22204) umožnila spustenie ľubovoľných príkazov v systéme pri analýze metadát zo súborov vo formáte DjVu: (metadáta (Copyright "\ " . qx{echo test >/tmp/test} . \ "b"))
Navyše, keďže skutočný formát bol v ExifTool určený typom obsahu MIME a nie príponou súboru, útočník si mohol stiahnuť dokument DjVu s exploitom pod maskou bežného obrázka JPG alebo TIFF (GitLab volá ExifTool pre všetky súbory s jpg, rozšírenia jpeg a tiff na vyčistenie nepotrebných značiek). Príklad exploitu. V predvolenej konfigurácii GitLab CE je možné útok vykonať odoslaním dvoch požiadaviek, ktoré nevyžadujú autentifikáciu.
Používateľom GitLab sa odporúča, aby sa uistili, že používajú aktuálnu verziu, a ak používajú zastarané vydanie, okamžite si nainštalovali aktualizácie, a ak to z nejakého dôvodu nie je možné, aby selektívne použili opravu, ktorá blokuje zraniteľnosť. Používateľom systémov bez záplat sa tiež odporúča zabezpečiť, aby ich systém nebol ohrozený analýzou protokolov a kontrolou účtov podozrivých útočníkov (napríklad dexbcx, dexbcx818, dexbcxh, dexbcxi a dexbcxa99).
Zdroj: opennet.ru