GitLab 警告用戶,與利用關鍵漏洞 CVE-2021-22205 相關的惡意活動有所增加,該漏洞允許用戶在使用 GitLab 協作開發平台的伺服器上無需身份驗證即可遠端執行程式碼。
該問題從 11.9 版本開始就存在於 GitLab 中,並於 13.10.3 月在 GitLab 版本 13.9.6、13.8.8 和 31 中修復。 然而,根據 60 月 50 日對全球 21 個公開可用的 GitLab 實例的掃描來看,29% 的系統繼續使用容易受到漏洞影響的過時版本的 GitLab。 僅 XNUMX% 的測試伺服器安裝了所需的更新,且 XNUMX% 的系統無法確定所使用的版本號。
GitLab 伺服器管理員對安裝更新的粗心態度導致該漏洞開始被攻擊者積極利用,他們開始在伺服器上放置惡意軟體並將其連接到參與 DDoS 攻擊的殭屍網路的工作。 在高峰期,基於易受攻擊的 GitLab 伺服器的殭屍網路產生的 DDoS 攻擊期間的流量達到每秒 1 太比特。
該漏洞是由於基於 ExifTool 庫的外部解析器對下載的映像檔進行錯誤處理所造成的。 ExifTool 中的漏洞 (CVE-2021-22204) 允許在解析 DjVu 格式檔案的元資料時在系統中執行任意指令:(metadata (Copyright "\ " . qx{echo test >/tmp/test} . \ “b ”))
此外,由於ExifTool 中的實際格式是由MIME 內容類型而不是檔案副檔名決定的,因此攻擊者可以在常規JPG 或TIFF 影像的幌子下下載帶有漏洞的DjVu 文件(GitLab 對所有具有以下格式的文件呼叫ExifTool): jpg、jpeg 副檔名和 tiff 來清理不必要的標籤)。 漏洞利用範例。 在GitLab CE的預設設定中,可以透過發送兩個不需要身份驗證的請求來進行攻擊。
建議 GitLab 使用者確保他們使用的是當前版本,如果他們使用的是過時的版本,請立即安裝更新,如果由於某種原因無法安裝更新,則選擇性地應用阻止漏洞的修補程式。 也建議未修補系統的使用者透過分析日誌並檢查可疑攻擊者帳戶(例如 dexbcx、dexbcx818、dexbcxh、dexbcxi 和 dexbcxa99)來確保其係統不會受到損害。
來源: opennet.ru