GitLab نے صارفین کو اہم خطرے سے متعلق CVE-2021-22205 کے استحصال سے متعلق حملہ آور کی بڑھتی ہوئی سرگرمی کے بارے میں خبردار کیا ہے، جو GitLab تعاونی ترقیاتی پلیٹ فارم کو چلانے والے سرور پر بغیر تصدیق کے ریموٹ کوڈ پر عمل درآمد کی اجازت دیتا ہے۔
یہ مسئلہ GitLab میں ورژن 11.9 سے موجود ہے اور اسے اپریل میں GitLab 13.10.3، 13.9.6، اور 13.8.8 میں ٹھیک کر دیا گیا تھا۔ تاہم، 31 اکتوبر کو کیے گئے 60 عوامی طور پر قابل رسائی GitLab مثالوں کے عالمی نیٹ ورک اسکین کے مطابق، 50% سسٹمز پرانے، کمزور GitLab ورژن استعمال کرنا جاری رکھے ہوئے ہیں۔ اسکین کیے گئے صرف 21% میں ضروری اپ ڈیٹس انسٹال ہیں۔ سرورز، اور 29% سسٹمز پر استعمال ہونے والے ورژن نمبر کا تعین کرنا ممکن نہیں تھا۔
اپ ڈیٹس کو انسٹال کرنے کے بارے میں GitLab سرور کے منتظمین کے لاپرواہی کے رویے کی وجہ سے حملہ آوروں کے ذریعہ اس خطرے کا فعال طور پر استحصال کیا گیا جنہوں نے اسے انسٹال کرنا شروع کیا۔ سرورز میلویئر اور انہیں DDoS حملوں میں ملوث بوٹ نیٹ سے جوڑیں۔ اپنے عروج پر، کمزور GitLab سرورز پر مبنی بوٹ نیٹ کے ذریعے پیدا ہونے والے DDoS حملے کے دوران ٹریفک کا حجم 1 ٹیرا بٹ فی سیکنڈ تک پہنچ گیا۔
یہ خطرہ ExifTool لائبریری پر مبنی ایک بیرونی تجزیہ کار کے ذریعے اپ لوڈ کردہ تصویری فائلوں کو غلط طریقے سے سنبھالنے کی وجہ سے ہے۔ ExifTool (CVE-2021-22204) میں کمزوری نے DjVu فائلوں سے میٹا ڈیٹا کو پارس کرتے وقت صوابدیدی نظام کے احکامات پر عمل درآمد کرنے کی اجازت دی: (میٹا ڈیٹا (کاپی رائٹ "\ " . qx{echo test >/tmp/test} . \ " b ") )
مزید برآں، چونکہ ExifTool میں اصل فارمیٹ کا تعین فائل ایکسٹینشن کے بجائے MIME مواد کی قسم کے ذریعے کیا گیا تھا، اس لیے حملہ آور ایک ایکسپلوٹ فعال DjVu دستاویز کو ایک باقاعدہ JPG یا TIFF امیج کے بھیس میں اپ لوڈ کر سکتا ہے (GitLab تمام فائلوں پر ExifTool کو jpg، jpeg، اور stripsness ٹیگ سے ہٹانے کے لیے کہتے ہیں)۔ ایک استحصال کی مثال: پہلے سے طے شدہ GitLab CE کنفیگریشن میں، حملہ دو درخواستیں بھیج کر کیا جا سکتا ہے جن کے لیے تصدیق کی ضرورت نہیں ہے۔
GitLab صارفین کو مشورہ دیا جاتا ہے کہ وہ اس بات کو یقینی بنائیں کہ وہ تازہ ترین ورژن چلا رہے ہیں۔ اگر وہ پرانی ریلیز استعمال کر رہے ہیں، تو انہیں فوری طور پر اپ ڈیٹس انسٹال کرنا چاہئیں۔ اگر یہ کسی وجہ سے ممکن نہیں ہے تو، انہیں منتخب طور پر ایک پیچ لگانا چاہئے جو خطرے کو روکتا ہے۔ پرانے سسٹمز کے صارفین کو یہ بھی مشورہ دیا جاتا ہے کہ وہ لاگز کا تجزیہ کرکے اور مشکوک حملہ آور اکاؤنٹس (جیسے، dexbcx، dexbcx818، dexbcxh، dexbcxi، اور dexbcxa99) کی جانچ کرکے تصدیق کریں کہ ان کے سسٹم سے سمجھوتہ نہیں کیا گیا ہے۔
ماخذ: opennet.ru
