ГитЛаб је упозорио кориснике на повећање злонамерне активности у вези са искоришћавањем критичне рањивости ЦВЕ-2021-22205, која им омогућава да даљински извршавају свој код без аутентификације на серверу који користи платформу за колаборативни развој ГитЛаб.
Проблем је присутан у ГитЛабу од верзије 11.9 и решен је још у априлу у ГитЛаб издањима 13.10.3, 13.9.6 и 13.8.8. Међутим, судећи по скенирању глобалне мреже од 31 јавно доступних ГитЛаб инстанци од 60. октобра, 50% система наставља да користи застареле верзије ГитЛаб-а које су подложне рањивостима. Потребна ажурирања су инсталирана на само 21% тестираних сервера, а на 29% система није било могуће утврдити број верзије која се користи.
Непажљив став администратора ГитЛаб сервера према инсталирању ажурирања довео је до чињенице да су рањивост почели да активно користе нападачи, који су почели да постављају малвер на сервере и повезују их са радом ботнета који учествује у ДДоС нападима. На свом врхунцу, обим саобраћаја током ДДоС напада који генерише ботнет заснован на рањивим ГитЛаб серверима достигао је 1 терабајта у секунди.
Рањивост је узрокована погрешном обрадом преузетих сликовних датотека од стране екстерног парсера заснованог на библиотеци ЕкифТоол. Рањивост у ЕкифТоол-у (ЦВЕ-2021-22204) дозвољавала је извршавање произвољних команди у систему приликом рашчлањивања метаподатака из датотека у ДјВу формату: (метаподаци (Ауторска права "\ " . кк{ецхо тест >/тмп/тест} . \ . \ ). "б"))
Штавише, пошто је стварни формат у ЕкифТоол-у одређен типом садржаја МИМЕ, а не екстензијом датотеке, нападач је могао да преузме ДјВу документ са експлоатацијом под маском обичне ЈПГ или ТИФФ слике (ГитЛаб позива ЕкифТоол за све датотеке са јпг, јпег екстензије и тифф за чишћење непотребних ознака). Пример експлоатације. У подразумеваној конфигурацији ГитЛаб ЦЕ, напад се може извршити слањем два захтева која не захтевају аутентификацију.
Корисницима ГитЛаб-а се препоручује да се увере да користе тренутну верзију и, ако користе застарело издање, да одмах инсталирају ажурирања, а ако из неког разлога то није могуће, да селективно примене закрпу која блокира рањивост. Корисницима незакрпљених система се такође саветује да осигурају да њихов систем није компромитован анализом евиденције и провером сумњивих налога нападача (на пример, декбцк, декбцк818, декбцкх, декбцки и декбцка99).
Извор: опеннет.ру