GitLab ka paralajmëruar përdoruesit për një rritje të aktivitetit keqdashës në lidhje me shfrytëzimin e cenueshmërisë kritike CVE-2021-22205, e cila i lejon ata të ekzekutojnë nga distanca kodin e tyre pa vërtetim në një server që përdor platformën e zhvillimit bashkëpunues GitLab.
Problemi ka qenë i pranishëm në GitLab që nga versioni 11.9 dhe është rregulluar në prill në versionet 13.10.3, 13.9.6 dhe 13.8.8 të GitLab. Megjithatë, duke gjykuar nga një skanim i 31 tetorit të një rrjeti global prej 60 instancash GitLab të disponueshme publikisht, 50% e sistemeve vazhdojnë të përdorin versione të vjetruara të GitLab që janë të ndjeshme ndaj dobësive. Përditësimet e kërkuara u instaluan vetëm në 21% të serverëve të testuar dhe në 29% të sistemeve nuk ishte e mundur të përcaktohej numri i versionit që përdorej.
Qëndrimi i pakujdesshëm i administratorëve të serverëve GitLab ndaj instalimit të përditësimeve çoi në faktin se dobësia filloi të shfrytëzohej në mënyrë aktive nga sulmuesit, të cilët filluan të vendosin malware në serverë dhe t'i lidhin ato me punën e një botnet që merr pjesë në sulmet DDoS. Në kulmin e tij, vëllimi i trafikut gjatë një sulmi DDoS i krijuar nga një botnet i bazuar në serverët e cenueshëm të GitLab arriti në 1 terabit për sekondë.
Dobësia shkaktohet nga përpunimi i gabuar i skedarëve të imazhit të shkarkuar nga një analizues i jashtëm i bazuar në bibliotekën ExifTool. Një dobësi në ExifTool (CVE-2021-22204) lejoi që komandat arbitrare të ekzekutoheshin në sistem kur analizonin meta të dhënat nga skedarët në formatin DjVu: (metadata (E drejta e autorit "\ " . qx{echo test >/tmp/test} . \ "b"))
Për më tepër, meqenëse formati aktual u përcaktua në ExifTool nga lloji i përmbajtjes MIME, dhe jo nga zgjatja e skedarit, sulmuesi mund të shkarkonte një dokument DjVu me një shfrytëzim nën maskën e një imazhi të rregullt JPG ose TIFF (GitLab thërret ExifTool për të gjithë skedarët me jpg, shtesa jpeg dhe tiff për të pastruar etiketat e panevojshme). Një shembull i një shfrytëzimi. Në konfigurimin e paracaktuar të GitLab CE, një sulm mund të kryhet duke dërguar dy kërkesa që nuk kërkojnë vërtetim.
Përdoruesit e GitLab rekomandohen të sigurojnë që po përdorin versionin aktual dhe, nëse përdorin një version të vjetëruar, të instalojnë menjëherë përditësimet dhe nëse për ndonjë arsye kjo nuk është e mundur, të aplikojnë në mënyrë selektive një patch që bllokon cenueshmërinë. Përdoruesit e sistemeve të papatchuara gjithashtu këshillohen të sigurojnë që sistemi i tyre të mos rrezikohet duke analizuar regjistrat dhe duke kontrolluar për llogari të dyshimta të sulmuesve (për shembull, dexbcx, dexbcx818, dexbcxh, dexbcxi dhe dexbcxa99).
Burimi: opennet.ru