Захват контроля над уязвимыми серверами GitLab для вовлечения в проведение DDoS-атак
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Компания GitLab предупредила пользователей об увеличении активности злоумышленников, связанной с эксплуатацией критической уязвимости CVE-2021-22205, позволяющей удалённо без прохождения аутентификации выполнить свой код на сервере, на котором используется платформа для организации совместной разработки GitLab.
Проблема проявляется в GitLab начиная с версии 11.9 и была устранена ещё в апреле в выпусках GitLab 13.10.3, 13.9.6 и 13.8.8. Тем не менее, судя по проведённому 31 октября сканированию глобальной сети из 60 тысяч публично доступных экземпляров GitLab, на 50% систем продолжают использоваться устаревшие версии GitLab, подверженные уязвимости. Необходимые обновления установлены только на 21% из проверенных серверов, а на 29% систем определить номер используемой версии не удалось.
Халатное отношение администраторов серверов с GitLab к установке обновлений привело к тому, что уязвимость начала активно эксплуатироваться злоумышленниками, которые стали размещать на серверах вредоносное ПО и подключать их к работе ботнета, участвующего в совершении DDoS-атак.
В пике объём трафика в процессе DDoS-атаки, генерируемой ботнетом на базе уязвимых серверов GitLab, доходил до 1 терабита в секунду.
Уязвимость вызвана некорректной обработкой загружаемых файлов с изображениями внешним парсером на базе библиотеки ExifTool. Уязвимость в ExifTool (CVE-2021-22204) позволяла выполнить произвольные команды в системе при разборе метаданных из файлов в формате DjVu:
(metadata
(Copyright "\
" . qx{echo test >/tmp/test} . \
" b ") )
При этом, так как фактический формат определялся в ExifTool по MIME-типу содержимого, а не расширению файла, атакующий мог загрузить DjVu-документ с эксплоитом под видом обычного JPG- или TIFF-изображения (GitLab вызывает ExifTool для всех файлов с расширениями jpg, jpeg и tiff для чистки лишних тегов). Пример эксплоита. В конфигурации GitLab CE по умолчанию атака может быть проведена через отправку двух запросов, не требующих прохождения аутентификации.
Пользователям GitLab рекомендуется убедиться в использовании актуальной версии и в случае использования устаревшего выпуска срочно установить обновления, а если это по каким-то причинам невозможно, выборочно применить патч, блокирующий проявление уязвимости. Пользователям необновлённых систем также рекомендуется убедиться, что их система не скомпрометирована, проанализировав логи и проверив наличие подозрительных учётных записей атакующих (например, dexbcx, dexbcx818, dexbcxh, dexbcxi и dexbcxa99).
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://about.gitlab.com/blog/...)
- OpenNews: Уязвимость в UPnP, подходящая для усиления DDoS-атак и сканирования внутренней сети
- OpenNews: В GitLab устранена критическая уязвимость
- OpenNews: Уязвимость в GitLab, позволяющая прочитать содержимое системных файлов
- OpenNews: Инцидент с СУБД проекта GitLab
- OpenNews: Уязвимость в Ghostscript, эксплуатируемая через ImageMagick
Похожие новости:
- Атака Trojan Source для внедрения изменений в код, незаметных для разработчика
- Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы
- [JavaScript, Карьера в IT-индустрии, VueJS, Интервью] От DBA и работы в стартапе до Vue.js Core team member и Staff Frontend Engineer в GitLab: история Натальи Теплухиной
- [FPGA, Системы сборки, DevOps, Производство и разработка электроники] Continuous Integration для Intel FPGA (Altera)
- [PHP, Go, Тестирование веб-сервисов, Kubernetes] Как мы делали инструмент для QA, а сделали для всего техотдела
- [Информационная безопасность] Атака через поставщика или подрядчика глазами пентестера
- В клиентском ПО удостоверяющего центра MonPass выявлен бэкдор
- [Oracle, SQL, Администрирование баз данных, DevOps] Немного CI/CD магии: настраиваем доставку скриптов миграции базы данных с использованием GitLab и Liquibase
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- Google предложил SLSA для защиты от вредоносных изменений в процессе разработки
Теги для поиска: #_gitlab, #_ddos, #_attack
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Апр 22:59
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 2 месяца |
|
Компания GitLab предупредила пользователей об увеличении активности злоумышленников, связанной с эксплуатацией критической уязвимости CVE-2021-22205, позволяющей удалённо без прохождения аутентификации выполнить свой код на сервере, на котором используется платформа для организации совместной разработки GitLab. Проблема проявляется в GitLab начиная с версии 11.9 и была устранена ещё в апреле в выпусках GitLab 13.10.3, 13.9.6 и 13.8.8. Тем не менее, судя по проведённому 31 октября сканированию глобальной сети из 60 тысяч публично доступных экземпляров GitLab, на 50% систем продолжают использоваться устаревшие версии GitLab, подверженные уязвимости. Необходимые обновления установлены только на 21% из проверенных серверов, а на 29% систем определить номер используемой версии не удалось. Халатное отношение администраторов серверов с GitLab к установке обновлений привело к тому, что уязвимость начала активно эксплуатироваться злоумышленниками, которые стали размещать на серверах вредоносное ПО и подключать их к работе ботнета, участвующего в совершении DDoS-атак. В пике объём трафика в процессе DDoS-атаки, генерируемой ботнетом на базе уязвимых серверов GitLab, доходил до 1 терабита в секунду. Уязвимость вызвана некорректной обработкой загружаемых файлов с изображениями внешним парсером на базе библиотеки ExifTool. Уязвимость в ExifTool (CVE-2021-22204) позволяла выполнить произвольные команды в системе при разборе метаданных из файлов в формате DjVu: (metadata
(Copyright "\ " . qx{echo test >/tmp/test} . \ " b ") ) Пользователям GitLab рекомендуется убедиться в использовании актуальной версии и в случае использования устаревшего выпуска срочно установить обновления, а если это по каким-то причинам невозможно, выборочно применить патч, блокирующий проявление уязвимости. Пользователям необновлённых систем также рекомендуется убедиться, что их система не скомпрометирована, проанализировав логи и проверив наличие подозрительных учётных записей атакующих (например, dexbcx, dexbcx818, dexbcxh, dexbcxi и dexbcxa99). =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Апр 22:59
Часовой пояс: UTC + 5