Binalaan ng GitLab ang mga user tungkol sa pagtaas ng malisyosong aktibidad na nauugnay sa pagsasamantala sa kritikal na kahinaan na CVE-2021-22205, na nagpapahintulot sa kanila na malayuang isagawa ang kanilang code nang walang pagpapatotoo sa isang server na gumagamit ng collaborative development platform ng GitLab.
Ang isyu ay naroroon sa GitLab mula noong bersyon 11.9 at naayos noong Abril sa mga paglabas ng GitLab na 13.10.3, 13.9.6, at 13.8.8. Gayunpaman, sa pamamagitan ng pag-scan noong Oktubre 31 ng isang pandaigdigang network ng 60 mga pagkakataong GitLab na available sa publiko, 50% ng mga system ay patuloy na gumagamit ng mga lumang bersyon ng GitLab na madaling kapitan ng mga kahinaan. Ang mga kinakailangang update ay na-install sa 21% lamang ng mga server na nasubok, at sa 29% ng mga system ay hindi posible na matukoy ang numero ng bersyon na ginagamit.
Ang kawalang-ingat na saloobin ng mga administrator ng GitLab server sa pag-install ng mga update ay humantong sa katotohanan na ang kahinaan ay nagsimulang aktibong pinagsamantalahan ng mga umaatake, na nagsimulang maglagay ng malware sa mga server at ikonekta ang mga ito sa gawain ng isang botnet na lumalahok sa mga pag-atake ng DDoS. Sa kasagsagan nito, umabot sa 1 terabit bawat segundo ang dami ng trapiko sa panahon ng pag-atake ng DDoS na nabuo ng isang botnet batay sa mga vulnerable na server ng GitLab.
Ang kahinaan ay sanhi ng maling pagproseso ng mga na-download na file ng imahe ng isang panlabas na parser batay sa ExifTool library. Ang isang kahinaan sa ExifTool (CVE-2021-22204) ay nagpapahintulot sa mga arbitrary na command na maisagawa sa system kapag nag-parse ng metadata mula sa mga file sa DjVu na format: (metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ "b"))
Bukod dito, dahil ang aktwal na format ay natukoy sa ExifTool sa pamamagitan ng uri ng nilalaman ng MIME, at hindi ang extension ng file, maaaring mag-download ang attacker ng isang dokumento ng DjVu na may pagsasamantala sa ilalim ng pagkukunwari ng isang regular na JPG o TIFF na imahe (tinatawag ng GitLab ang ExifTool para sa lahat ng mga file na may jpg, jpeg extension at tiff para linisin ang mga hindi kinakailangang tag). Isang halimbawa ng pagsasamantala. Sa default na configuration ng GitLab CE, maaaring magsagawa ng pag-atake sa pamamagitan ng pagpapadala ng dalawang kahilingan na hindi nangangailangan ng pagpapatunay.
Inirerekomenda ang mga user ng GitLab na tiyaking ginagamit nila ang kasalukuyang bersyon at, kung gumagamit sila ng hindi napapanahong release, upang agad na mag-install ng mga update, at kung sa ilang kadahilanan ay hindi ito posible, pumili ng isang patch na humaharang sa kahinaan. Pinapayuhan din ang mga user ng mga hindi na-patch na system na tiyaking hindi nakompromiso ang kanilang system sa pamamagitan ng pagsusuri sa mga log at pagsuri para sa mga kahina-hinalang attacker account (halimbawa, dexbcx, dexbcx818, dexbcxh, dexbcxi at dexbcxa99).
Pinagmulan: opennet.ru