Upozornenie! Hackeri vo voľnej prírode využívajú neoverenú chybu RCE v GitLab

Teraz opravená zraniteľnosť kritického vzdialeného spustenia kódu (RCE) vo webovom rozhraní GitLab bola zistená ako aktívne využívaná vo voľnej prírode, varujú výskumníci v oblasti kybernetickej bezpečnosti, vďaka čomu je veľké množstvo inštancií GitLab orientovaných na internet náchylné na útoky.

Problém je sledovaný ako CVE-2021-22205 a týka sa nesprávneho overenia používateľmi poskytnutých obrázkov, čo vedie k spusteniu ľubovoľného kódu. Zraniteľnosť, ktorá sa týka všetkých verzií počnúc 11.9, bol odvtedy 14. apríla 2021 oslovený GitLabom vo verziách 13.8.8, 13.9.6a 13.10.3.

Pri jednom z útokov v reálnom svete, ktoré HN Security podrobne popísala minulý mesiac, boli na verejne prístupnom serveri GitLab, ktorý patrí nemenovanému zákazníkovi, zaregistrované dva používateľské účty s oprávneniami správcu, a to využitím vyššie uvedenej chyby na nahranie škodlivého „obrázku“ užitočného obsahu, čo vedie na vzdialené vykonávanie príkazov, ktoré udeľovali nečestným účtom zvýšené oprávnenia.

Útoky využívajúce túto zraniteľnosť sa údajne začali už v júni tohto roku, čo sa zhoduje s verejnou dostupnosťou kódu proof-of-concept (PoC), ktorý je potrebný na prelomenie serverov.

Hoci sa chyba pôvodne považovala za prípad overeného RCE a bolo mu priradené skóre CVSS 9.9, hodnotenie závažnosti bolo upravené na 10.0 21. septembra 2021 z dôvodu, že ho môžu spustiť aj neoverení aktéri hrozieb.

“Napriek malému posunu v skóre CVSS má zmena z overeného na neoverené veľké dôsledky pre obrancov,” uviedla spoločnosť Rapid7 pre kybernetickú bezpečnosť vo varovaní zverejnenom v pondelok.

Telemetrické údaje zhromaždené spoločnosťou so sídlom v Bostone ukazujú, že zo 60 000 inštalácií GitLab orientovaných na internet je iba 21 % prípadov plne opravených, pričom ďalších 50 % je stále zraniteľných voči útokom RCE bez ohľadu na skutočnosť, že záplaty majú sa hrá už viac ako šesť mesiacov.

Vzhľadom na neoverenú povahu tejto zraniteľnosti sa očakáva nárast aktivity v oblasti využívania, takže je dôležité, aby používatelia GitLab čo najskôr aktualizovali na najnovšiu verziu. “Okrem toho by v ideálnom prípade GitLab nemal byť internetovou službou,” uviedli vedci. “Ak potrebujete pristupovať k svojmu GitLab z internetu, zvážte jeho umiestnenie za VPN.”

Dodatočnú technickú analýzu súvisiacu so zraniteľnosťou nájdete tu.

Aktualizácia: Aktéri hrozieb teraz aktívne využívajú bezpečnostnú chybu na kooptovanie neoplatených serverov GitLab do botnetu a spúšťanie distribuovaných útokov odmietnutia služby (DDoS), pričom niektoré presahujú 1 terabitov za sekundu (Tbps), podľa inžiniera spoľahlivosti zabezpečenia Google Damiana Menschera.