GitLab 警告用户,与利用关键漏洞 CVE-2021-22205 相关的恶意活动有所增加,该漏洞允许用户在使用 GitLab 协作开发平台的服务器上无需身份验证即可远程执行代码。
该问题从 11.9 版本开始就存在于 GitLab 中,并于 13.10.3 月份在 GitLab 版本 13.9.6、13.8.8 和 31 中得到修复。 然而,根据 60 月 50 日对全球 21 个公开可用的 GitLab 实例的扫描来看,29% 的系统继续使用容易受到漏洞影响的过时版本的 GitLab。 仅 XNUMX% 的测试服务器安装了所需的更新,并且 XNUMX% 的系统无法确定所使用的版本号。
GitLab 服务器管理员对安装更新的粗心态度导致该漏洞开始被攻击者积极利用,他们开始在服务器上放置恶意软件并将其连接到参与 DDoS 攻击的僵尸网络的工作。 在高峰期,基于易受攻击的 GitLab 服务器的僵尸网络产生的 DDoS 攻击期间的流量达到每秒 1 太比特。
该漏洞是由于基于 ExifTool 库的外部解析器对下载的图像文件进行错误处理造成的。 ExifTool 中的漏洞 (CVE-2021-22204) 允许在解析 DjVu 格式文件的元数据时在系统中执行任意命令:(metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ “b”))
此外,由于 ExifTool 中的实际格式是由 MIME 内容类型而不是文件扩展名决定的,因此攻击者可以在常规 JPG 或 TIFF 图像的幌子下下载带有漏洞的 DjVu 文档(GitLab 对所有具有以下格式的文件调用 ExifTool): jpg、jpeg 扩展名和 tiff 来清理不必要的标签)。 漏洞利用示例。 在GitLab CE的默认配置中,可以通过发送两个不需要身份验证的请求来进行攻击。
建议 GitLab 用户确保他们使用的是当前版本,如果他们使用的是过时的版本,请立即安装更新,如果由于某种原因无法安装更新,则有选择地应用阻止漏洞的补丁。 还建议未修补系统的用户通过分析日志并检查可疑攻击者帐户(例如 dexbcx、dexbcx818、dexbcxh、dexbcxi 和 dexbcxa99)来确保其系统不会受到损害。
来源: opennet.ru