GitLab parantos ngingetkeun pangguna ngeunaan paningkatan kagiatan jahat anu aya hubunganana sareng eksploitasi kerentanan kritis CVE-2021-22205, anu ngamungkinkeun aranjeunna jarak jauh ngaéksekusi kodena tanpa auténtikasi dina server anu ngagunakeun platform pangembangan kolaborasi GitLab.
Masalahna parantos aya dina GitLab ti saprak vérsi 11.9 sareng dilereskeun deui dina April di GitLab ngarilis 13.10.3, 13.9.6, sareng 13.8.8. Tapi, ditilik ku scan 31 Oktober tina jaringan global 60 instansi GitLab anu sayogi umum, 50% sistem terus nganggo versi GitLab anu luntur anu rentan ka kerentanan. Pembaruan anu diperyogikeun dipasang dina ngan ukur 21% tina server anu diuji, sareng dina 29% sistem teu mungkin pikeun nangtukeun nomer versi anu dianggo.
Sikep cuek pangurus server GitLab pikeun masang apdet nyababkeun kanyataan yén kerentanan mimiti dieksploitasi sacara aktip ku panyerang, anu mimiti nempatkeun malware dina server sareng nyambungkeunana kana karya botnet anu milu dina serangan DDoS. Dina puncakna, volume lalu lintas salami serangan DDoS anu dihasilkeun ku botnet dumasar kana server GitLab anu rentan ngahontal 1 terabit per detik.
Kerentanan disababkeun ku ngolah file gambar anu diunduh ku parser éksternal dumasar kana perpustakaan ExifTool. Kerentanan dina ExifTool (CVE-2021-22204) ngamungkinkeun paréntah sawenang pikeun dieksekusi dina sistem nalika nga-parsing metadata tina file dina format DjVu: (metadata (Hak Cipta "\" . qx{test echo >/tmp/test} . \ "b"))
Sumawona, kumargi format saleresna ditangtukeun dina ExifTool ku jinis eusi MIME, sareng sanés ekstensi file, panyerang tiasa ngaunduh dokumén DjVu kalayan garapan dina kedok gambar JPG atanapi TIFF biasa (GitLab nyauran ExifTool pikeun sadaya file nganggo jpg, ekstensi jpeg sareng tiff pikeun ngabersihan tag anu teu perlu). Conto eksploitasi. Dina konfigurasi standar GitLab CE, serangan tiasa dilakukeun ku ngirim dua pamundut anu henteu meryogikeun auténtikasi.
Pangguna GitLab disarankan pikeun mastikeun yén aranjeunna nganggo vérsi anu ayeuna sareng, upami aranjeunna nganggo sékrési anu luntur, langsung pasang apdet, sareng upami kusabab sababaraha alesan ieu henteu mungkin, selektif nerapkeun patch anu ngahalangan kerentanan. Pamaké sistem unpatched ogé disarankan pikeun mastikeun yén sistem maranéhanana teu compromised ku analisa log jeung mariksa akun panyerang curiga (contona, dexbcx, dexbcx818, dexbcxh, dexbcxi jeung dexbcxa99).
sumber: opennet.ru