GitLab đã cảnh báo người dùng về sự gia tăng hoạt động độc hại liên quan đến việc khai thác lỗ hổng nghiêm trọng CVE-2021-22205, cho phép họ thực thi mã từ xa mà không cần xác thực trên máy chủ sử dụng nền tảng phát triển cộng tác GitLab.
Sự cố này đã xuất hiện trong GitLab kể từ phiên bản 11.9 và đã được khắc phục vào tháng 13.10.3 trong các bản phát hành GitLab 13.9.6, 13.8.8 và 31. Tuy nhiên, đánh giá qua đợt quét ngày 60 tháng 50 trên mạng toàn cầu gồm 21 phiên bản GitLab có sẵn công khai, 29% hệ thống tiếp tục sử dụng các phiên bản GitLab lỗi thời và dễ bị tổn thương. Các bản cập nhật bắt buộc chỉ được cài đặt trên XNUMX% máy chủ được thử nghiệm và trên XNUMX% hệ thống không thể xác định số phiên bản đang được sử dụng.
Thái độ bất cẩn của quản trị viên máy chủ GitLab trong việc cài đặt các bản cập nhật đã dẫn đến việc lỗ hổng này bắt đầu bị những kẻ tấn công tích cực khai thác, những kẻ bắt đầu đặt phần mềm độc hại trên máy chủ và kết nối chúng với hoạt động của botnet tham gia các cuộc tấn công DDoS. Vào lúc cao điểm, lưu lượng truy cập trong cuộc tấn công DDoS do botnet dựa trên các máy chủ GitLab dễ bị tấn công tạo ra đạt tới 1 terabit mỗi giây.
Lỗ hổng này xảy ra do trình phân tích cú pháp bên ngoài dựa trên thư viện ExifTool xử lý không chính xác các tệp hình ảnh đã tải xuống. Lỗ hổng trong ExifTool (CVE-2021-22204) cho phép thực thi các lệnh tùy ý trong hệ thống khi phân tích siêu dữ liệu từ các tệp ở định dạng DjVu: (siêu dữ liệu (Bản quyền "\ " . qx{echo test >/tmp/test} . \ "b") )
Hơn nữa, do định dạng thực tế được xác định trong ExifTool theo loại nội dung MIME chứ không phải phần mở rộng tệp, nên kẻ tấn công có thể tải xuống tài liệu DjVu bằng cách khai thác dưới vỏ bọc là hình ảnh JPG hoặc TIFF thông thường (GitLab gọi ExifTool cho tất cả các tệp có jpg, phần mở rộng jpeg và tiff để xóa các thẻ không cần thiết). Một ví dụ về khai thác. Trong cấu hình mặc định của GitLab CE, một cuộc tấn công có thể được thực hiện bằng cách gửi hai yêu cầu không yêu cầu xác thực.
Người dùng GitLab nên đảm bảo rằng họ đang sử dụng phiên bản hiện tại và nếu họ đang sử dụng một bản phát hành lỗi thời, hãy cài đặt ngay các bản cập nhật và nếu vì lý do nào đó, điều này là không thể, hãy áp dụng có chọn lọc một bản vá chặn lỗ hổng. Người dùng hệ thống chưa được vá lỗi cũng nên đảm bảo rằng hệ thống của họ không bị xâm phạm bằng cách phân tích nhật ký và kiểm tra các tài khoản đáng ngờ của kẻ tấn công (ví dụ: dexbcx, dexbcx818, dexbcxh, dexbcxi và dexbcxa99).
Nguồn: opennet.ru