โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > ยึดการควบคุมเซิร์ฟเวอร์ GitLab ที่มีช่องโหว่เพื่อมีส่วนร่วมในการโจมตี DDoS

ยึดการควบคุมเซิร์ฟเวอร์ GitLab ที่มีช่องโหว่เพื่อมีส่วนร่วมในการโจมตี DDoS

GitLab ได้เตือนผู้ใช้เกี่ยวกับการเพิ่มขึ้นของกิจกรรมที่เป็นอันตรายที่เกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ที่สำคัญ CVE-2021-22205 ซึ่งช่วยให้ผู้ใช้สามารถรันโค้ดจากระยะไกลโดยไม่ต้องมีการตรวจสอบสิทธิ์บนเซิร์ฟเวอร์ที่ใช้แพลตฟอร์มการพัฒนาการทำงานร่วมกันของ GitLab

ปัญหานี้เกิดขึ้นใน GitLab ตั้งแต่เวอร์ชัน 11.9 และได้รับการแก้ไขแล้วในเดือนเมษายนใน GitLab รุ่น 13.10.3, 13.9.6 และ 13.8.8 อย่างไรก็ตาม เมื่อพิจารณาจากการสแกนเครือข่ายทั่วโลกที่มีอินสแตนซ์ GitLab ที่เปิดเผยต่อสาธารณะจำนวน 31 รายการในวันที่ 60 ตุลาคม พบว่า 50% ของระบบยังคงใช้ GitLab เวอร์ชันล้าสมัยซึ่งเสี่ยงต่อช่องโหว่ การอัปเดตที่จำเป็นได้รับการติดตั้งบนเซิร์ฟเวอร์เพียง 21% ที่ทดสอบ และ 29% ของระบบ ไม่สามารถระบุหมายเลขเวอร์ชันที่ใช้งานอยู่ได้

ทัศนคติที่ไม่ระมัดระวังของผู้ดูแลระบบเซิร์ฟเวอร์ GitLab ในการติดตั้งการอัปเดตนำไปสู่ความจริงที่ว่าช่องโหว่เริ่มถูกโจมตีโดยผู้โจมตีซึ่งเริ่มวางมัลแวร์บนเซิร์ฟเวอร์และเชื่อมต่อพวกเขากับการทำงานของบ็อตเน็ตที่เข้าร่วมในการโจมตี DDoS เมื่อถึงจุดสูงสุด ปริมาณการรับส่งข้อมูลระหว่างการโจมตี DDoS ที่สร้างโดยบอตเน็ตบนเซิร์ฟเวอร์ GitLab ที่มีช่องโหว่นั้นสูงถึง 1 เทราบิตต่อวินาที

ช่องโหว่นี้เกิดจากการประมวลผลไฟล์ภาพที่ดาวน์โหลดอย่างไม่ถูกต้องโดยโปรแกรมแยกวิเคราะห์ภายนอกตามไลบรารี ExifTool ช่องโหว่ใน ExifTool (CVE-2021-22204) อนุญาตให้เรียกใช้คำสั่งที่กำหนดเองในระบบเมื่อแยกวิเคราะห์ข้อมูลเมตาจากไฟล์ในรูปแบบ DjVu: (ข้อมูลเมตา (ลิขสิทธิ์ "\ " .qx{echo test >/tmp/test} . \ " ข "))

ยิ่งไปกว่านั้น เนื่องจากรูปแบบจริงถูกกำหนดใน ExifTool ตามประเภทเนื้อหา MIME ไม่ใช่นามสกุลไฟล์ ผู้โจมตีจึงสามารถดาวน์โหลดเอกสาร DjVu พร้อมการหาประโยชน์ภายใต้หน้ากากของรูปภาพ JPG หรือ TIFF ปกติ (GitLab เรียก ExifTool สำหรับไฟล์ทั้งหมดที่มี jpg, นามสกุล jpeg และ tiff เพื่อล้างแท็กที่ไม่จำเป็น) ตัวอย่างของการใช้ประโยชน์ ในการกำหนดค่าเริ่มต้นของ GitLab CE การโจมตีสามารถทำได้โดยการส่งคำขอสองคำขอที่ไม่จำเป็นต้องมีการตรวจสอบสิทธิ์

ยึดการควบคุมเซิร์ฟเวอร์ GitLab ที่มีช่องโหว่เพื่อมีส่วนร่วมในการโจมตี DDoS

ผู้ใช้ GitLab ได้รับคำแนะนำเพื่อให้แน่ใจว่าพวกเขากำลังใช้เวอร์ชันปัจจุบัน และหากพวกเขาใช้รุ่นที่ล้าสมัย ให้ติดตั้งการอัปเดตทันที และหากเป็นไปไม่ได้ด้วยเหตุผลบางประการ ให้เลือกใช้แพตช์ที่บล็อกช่องโหว่ ผู้ใช้ระบบที่ไม่ได้รับการติดตั้งควรตรวจสอบให้แน่ใจว่าระบบของตนไม่ถูกบุกรุกโดยการวิเคราะห์บันทึกและตรวจสอบบัญชีผู้โจมตีที่น่าสงสัย (เช่น dexbcx, dexbcx818, dexbcxh, dexbcxi และ dexbcxa99)

ที่มา: opennet.ru

เพิ่มความคิดเห็น