GitLab je uporabnike opozoril na porast zlonamerne dejavnosti, povezane z izkoriščanjem kritične ranljivosti CVE-2021-22205, ki jim omogoča oddaljeno izvajanje kode brez avtentikacije na strežniku, ki uporablja platformo za sodelovalni razvoj GitLab.
Težava je v GitLabu prisotna od različice 11.9 in je bila odpravljena aprila v izdajah GitLab 13.10.3, 13.9.6 in 13.8.8. Vendar pa sodeč po pregledu globalnega omrežja 31 javno dostopnih primerkov GitLab z dne 60. oktobra 50 % sistemov še naprej uporablja zastarele različice GitLaba, ki so dovzetne za ranljivosti. Zahtevane posodobitve so bile nameščene le na 21 % testiranih strežnikov, na 29 % sistemov pa ni bilo mogoče ugotoviti številke uporabljene različice.
Nepazljiv odnos skrbnikov strežnika GitLab do namestitve posodobitev je privedel do dejstva, da so ranljivost začeli aktivno izkoriščati napadalci, ki so na strežnike začeli postavljati zlonamerno programsko opremo in jih povezovati z delom botneta, ki sodeluje pri napadih DDoS. Na vrhuncu je obseg prometa med napadom DDoS, ki ga ustvari botnet, ki temelji na ranljivih strežnikih GitLab, dosegel 1 terabit na sekundo.
Ranljivost je posledica nepravilne obdelave prenesenih slikovnih datotek s strani zunanjega razčlenjevalnika, ki temelji na knjižnici ExifTool. Ranljivost v ExifTool (CVE-2021-22204) je omogočila izvajanje poljubnih ukazov v sistemu pri razčlenjevanju metapodatkov iz datotek v formatu DjVu: (metapodatki (Avtorske pravice "\ " . qx{echo test >/tmp/test} . \ " b "))
Še več, ker je bil dejanski format v ExifTool določen z vrsto vsebine MIME in ne s končnico datoteke, je lahko napadalec prenesel dokument DjVu z izkoriščanjem pod krinko običajne slike JPG ali TIFF (GitLab kliče ExifTool za vse datoteke z jpg, jpeg in tiff za čiščenje nepotrebnih oznak). Primer izkoriščanja. V privzeti konfiguraciji GitLab CE se napad lahko izvede s pošiljanjem dveh zahtev, ki ne zahtevata avtentikacije.
Uporabnikom GitLaba svetujemo, da zagotovijo, da uporabljajo trenutno različico in, če uporabljajo zastarelo izdajo, da takoj namestijo posodobitve, in če iz nekega razloga to ni mogoče, da selektivno uporabijo popravek, ki blokira ranljivost. Uporabnikom nepopravljenih sistemov svetujemo tudi, da zagotovijo, da njihov sistem ni ogrožen, tako da analizirajo dnevnike in preverijo, ali obstajajo sumljivi računi napadalcev (na primer dexbcx, dexbcx818, dexbcxh, dexbcxi in dexbcxa99).
Vir: opennet.ru