Компанія GitLab попередила користувачів про збільшення активності зловмисників, пов'язану з експлуатацією критичної вразливості CVE-2021-22205, що дозволяє без проходження автентифікації виконати свій код на сервері, на якому використовується платформа для організації спільної розробки GitLab.
Проблема проявляється у GitLab починаючи з версії 11.9 і була усунена ще у квітні у випусках GitLab 13.10.3, 13.9.6 та 13.8.8. Тим не менш, судячи з проведеного 31 жовтня сканування глобальної мережі з 60 тисяч публічно доступних екземплярів GitLab, на 50% систем продовжують використовуватися застарілі версії GitLab, схильні до вразливості. Необхідні оновлення встановлені лише на 21% з перевірених серверів, а на 29% систем визначити номер версії, що використовується, не вдалося.
Недбале ставлення адміністраторів серверів з GitLab до встановлення оновлень призвело до того, що вразливість почала активно експлуатуватися зловмисниками, які стали розміщувати на серверах шкідливе ПЗ і підключати їх до роботи ботнета, що бере участь у скоєнні DDoS-атак. У піку обсяг трафіку в процесі DDoS-атаки, що генерується ботнетом на базі вразливих серверів GitLab, сягав 1 терабіта в секунду.
Вразливість викликана некоректною обробкою файлів, що завантажуються із зображеннями зовнішнім парсером на базі бібліотеки ExifTool. Вразливість у ExifTool (CVE-2021-22204) дозволяла виконати довільні команди в системі при розборі метаданих з файлів у форматі DjVu: (metadata (Copyright "\" .
При цьому, оскільки фактичний формат визначався в ExifTool за MIME-типом вмісту, а не розширенням файлу, атакуючий міг завантажити DjVu-документ з експлоїтом під виглядом звичайного JPG- або TIFF-зображення (GitLab викликає ExifTool для всіх файлів з розширеннями jpg, jpeg та tiff для чищення зайвих тегів). Приклад експлоїту. У конфігурації GitLab CE за замовчуванням атака може бути проведена через відправлення двох запитів, що не вимагають проходження автентифікації.
Користувачам GitLab рекомендується переконатися у використанні актуальної версії та у разі використання застарілого випуску терміново встановити оновлення, а якщо це з якихось причин неможливо, вибірково застосувати патч, що блокує прояв уразливості. Користувачам неоновлених систем також рекомендується переконатися, що їх система не скомпрометована, проаналізувавши логи та перевіривши наявність підозрілих облікових записів атакуючих (наприклад, dexbcx, dexbcx818, dexbcxh, dexbcxi та dexbcxa99).
Джерело: opennet.ru