GitLab imewaonya watumiaji kuhusu ongezeko la shughuli hasidi zinazohusiana na unyonyaji wa hatari kubwa ya CVE-2021-22205, ambayo inawaruhusu kutekeleza msimbo wao wakiwa mbali bila uthibitishaji kwenye seva inayotumia jukwaa la ukuzaji shirikishi la GitLab.
Suala hilo limekuwepo katika GitLab tangu toleo la 11.9 na lilirekebishwa mnamo Aprili katika toleo la GitLab 13.10.3, 13.9.6 na 13.8.8. Hata hivyo, kwa kuzingatia uchunguzi wa Oktoba 31 wa mtandao wa kimataifa wa matukio 60 ya GitLab yanayopatikana hadharani, 50% ya mifumo inaendelea kutumia matoleo ya zamani ya GitLab ambayo yanaweza kuathiriwa. Masasisho yaliyohitajika yalisakinishwa kwenye 21% pekee ya seva zilizojaribiwa, na kwa 29% ya mifumo haikuwezekana kubainisha nambari ya toleo inayotumiwa.
Mtazamo wa kutojali wa wasimamizi wa seva za GitLab kwa kusasisha sasisho ulisababisha ukweli kwamba hatari hiyo ilianza kutumiwa kikamilifu na washambuliaji, ambao walianza kuweka programu hasidi kwenye seva na kuziunganisha na kazi ya botnet inayoshiriki katika shambulio la DDoS. Katika kilele chake, kiwango cha trafiki wakati wa shambulio la DDoS lililotolewa na botnet kulingana na seva zilizo hatarini za GitLab kilifikia terabiti 1 kwa sekunde.
Athari hii inasababishwa na uchakataji usio sahihi wa faili za picha zilizopakuliwa na kichanganuzi cha nje kulingana na maktaba ya ExifTool. Athari katika ExifTool (CVE-2021-22204) iliruhusu amri kiholela kutekelezwa katika mfumo wakati wa kuchanganua metadata kutoka kwa faili katika umbizo la DjVu: (metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ "b"))
Kwa kuongezea, kwa kuwa umbizo halisi liliamuliwa katika ExifTool na aina ya yaliyomo ya MIME, na sio kiendelezi cha faili, mshambuliaji anaweza kupakua hati ya DjVu na unyonyaji chini ya kivuli cha picha ya kawaida ya JPG au TIFF (GitLab inaita ExifTool kwa faili zote zilizo na jpg, viendelezi vya jpeg na tiff ili kusafisha vitambulisho visivyo vya lazima). Mfano wa unyonyaji. Katika usanidi chaguo-msingi wa GitLab CE, shambulio linaweza kufanywa kwa kutuma maombi mawili ambayo hayahitaji uthibitishaji.
Watumiaji wa GitLab wanapendekezwa kuhakikisha kuwa wanatumia toleo la sasa na, ikiwa wanatumia toleo lililopitwa na wakati, kusakinisha masasisho mara moja, na ikiwa kwa sababu fulani hii haiwezekani, kwa kuchagua kiraka kinachozuia uwezekano wa kuathiriwa. Watumiaji wa mifumo ambayo haijapachikwa pia wanashauriwa kuhakikisha kuwa mfumo wao hauathiriwi kwa kuchanganua kumbukumbu na kuangalia akaunti za washambulizi wanaotiliwa shaka (kwa mfano, dexbcx, dexbcx818, dexbcxh, dexbcxi na dexbcxa99).
Chanzo: opennet.ru