GitLab, kullanıcıları, GitLab işbirlikçi geliştirme platformunu kullanan bir sunucuda kimlik doğrulaması olmadan kodlarını uzaktan yürütmelerine olanak tanıyan kritik güvenlik açığı CVE-2021-22205'in kullanılmasıyla ilgili kötü niyetli faaliyetlerdeki artış konusunda uyardı.
Sorun GitLab'da 11.9 sürümünden beri mevcut ve Nisan ayında GitLab'ın 13.10.3, 13.9.6 ve 13.8.8 sürümlerinde düzeltildi. Ancak, 31 Ekim'de halka açık 60 GitLab örneğinden oluşan küresel bir ağda yapılan taramaya göre, sistemlerin %50'si GitLab'ın güvenlik açıklarına duyarlı eski sürümlerini kullanmaya devam ediyor. Test edilen sunucuların yalnızca %21'inde gerekli güncellemeler kuruldu ve sistemlerin %29'unda kullanılan sürüm numarasını belirlemek mümkün olmadı.
GitLab sunucu yöneticilerinin güncellemeleri yükleme konusundaki dikkatsiz tutumu, sunuculara kötü amaçlı yazılım yerleştirmeye ve bunları DDoS saldırılarına katılan bir botnet'in çalışmasına bağlamaya başlayan saldırganlar tarafından güvenlik açığından aktif olarak yararlanmaya başlamasına neden oldu. Zirve noktasında, savunmasız GitLab sunucularına dayalı bir botnet tarafından oluşturulan DDoS saldırısı sırasında trafik hacmi saniyede 1 terabit'e ulaştı.
Güvenlik açığı, indirilen görüntü dosyalarının ExifTool kitaplığını temel alan harici bir ayrıştırıcı tarafından hatalı işlenmesinden kaynaklanıyor. ExifTool'daki (CVE-2021-22204) bir güvenlik açığı, DjVu biçimindeki dosyalardan meta veriler ayrıştırılırken sistemde rastgele komutların yürütülmesine izin verdi: (meta veriler (Telif Hakkı "\ " .qx{echo test >/tmp/test} . \ " B ") )
Ayrıca, ExifTool'da gerçek format dosya uzantısına göre değil MIME içerik türüne göre belirlendiğinden, saldırgan normal bir JPG veya TIFF görüntüsü kisvesi altında bir istismar içeren bir DjVu belgesi indirebilir (GitLab, ExifTool'u tüm dosyalar için çağırır). Gereksiz etiketleri temizlemek için jpg, jpeg uzantıları ve tiff). Bir istismar örneği. GitLab CE'nin varsayılan konfigürasyonunda, kimlik doğrulama gerektirmeyen iki istek gönderilerek saldırı gerçekleştirilebilir.
GitLab kullanıcılarının mevcut sürümü kullandıklarından emin olmaları ve eski bir sürüm kullanıyorlarsa güncellemeleri hemen yüklemeleri, herhangi bir nedenle bu mümkün değilse, güvenlik açığını engelleyen bir yamayı seçici olarak uygulamaları önerilir. Yama uygulanmamış sistem kullanıcılarına, günlükleri analiz ederek ve şüpheli saldırgan hesaplarını (örneğin, dexbcx, dexbcx818, dexbcxh, dexbcxi ve dexbcxa99) kontrol ederek sistemlerinin güvenliğinin ihlal edilmediğinden emin olmaları önerilir.
Kaynak: opennet.ru