GitLab har varnat användare för en ökning av skadlig aktivitet relaterad till exploateringen av den kritiska sårbarheten CVE-2021-22205, som gör att de kan fjärrexekvera sin kod utan autentisering på en server som använder GitLabs utvecklingsplattform för samarbete.
Problemet har funnits i GitLab sedan version 11.9 och åtgärdades redan i april i GitLab-versionerna 13.10.3, 13.9.6 och 13.8.8. Men att döma av en genomsökning den 31 oktober av ett globalt nätverk av 60 50 offentligt tillgängliga GitLab-instanser, fortsätter 21 % av systemen att använda föråldrade versioner av GitLab som är känsliga för sårbarheter. De nödvändiga uppdateringarna installerades på endast 29 % av de testade servrarna och på XNUMX % av systemen var det inte möjligt att fastställa vilket versionsnummer som användes.
GitLab-serveradministratörernas slarviga inställning till att installera uppdateringar ledde till att sårbarheten började utnyttjas aktivt av angripare, som började placera skadlig programvara på servrarna och koppla dem till arbetet i ett botnät som deltog i DDoS-attacker. På sin topp nådde trafikvolymen under en DDoS-attack genererad av ett botnät baserat på sårbara GitLab-servrar 1 terabit per sekund.
Sårbarheten orsakas av felaktig bearbetning av nedladdade bildfiler av en extern parser baserad på ExifTool-biblioteket. En sårbarhet i ExifTool (CVE-2021-22204) gjorde att godtyckliga kommandon kunde köras i systemet när metadata från filer i DjVu-formatet analyserades: (metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ "b"))
Dessutom, eftersom det faktiska formatet bestämdes i ExifTool av MIME-innehållstypen, och inte filtillägget, kunde angriparen ladda ner ett DjVu-dokument med en exploit under sken av en vanlig JPG- eller TIFF-bild (GitLab anropar ExifTool för alla filer med jpg, jpeg-tillägg och tiff för att rensa bort onödiga taggar). Ett exempel på en exploit. I standardkonfigurationen av GitLab CE kan en attack utföras genom att skicka två förfrågningar som inte kräver autentisering.
GitLab-användare rekommenderas att se till att de använder den aktuella versionen och, om de använder en föråldrad version, att omedelbart installera uppdateringar, och om detta av någon anledning inte är möjligt, att selektivt tillämpa en patch som blockerar sårbarheten. Användare av oparpade system rekommenderas också att se till att deras system inte äventyras genom att analysera loggarna och leta efter misstänkta angriparkonton (till exempel dexbcx, dexbcx818, dexbcxh, dexbcxi och dexbcxa99).
Källa: opennet.ru