Хакеры активно эксплуатируют RCE-уязвимость GitLab
Исследователи кибербезопасности предупреждают, что пропатченная уязвимость удаленного выполнения кода (RCE) в веб-интерфейсе GitLab по-прежнему активно эксплуатируется злоумышленниками, подвергая опасности большое число экземпляров сервиса.
Эта дыра, получившая код CVE-2021–22205, относится к неверной валидации предоставленных пользователем изображений, что позволяет выполнять содержащийся в них произвольный код. Угрозе подвержены как версии GitLab Enterprise Edition (EE), так и GitLab Community Edition (CE), начиная с 11.9. Заплатку же выпустили 14 апреля 2021 года для версий 13.8.8, 13.9.6 и 13.10.3.
В одной из реальных атак, описанных HN Security в прошлом месяце, на общедоступном сервере GitLab, принадлежащем неназванному клиенту, были зарегистрированы два аккаунта, получившие права администратора. Повышение их привилегий было произведено путем удаленного выполнения команд полезной нагрузки, содержащейся в загруженных через эту дыру зараженных изображениях.
Несмотря на то, что уязвимость изначально рассматривалась, как касающаяся только аутентифицированного удаленного выполнения кода и получила балл CVSS 9.9, 21 сентября 2021 года его значение было повышено до 10.0. Причина в том, что воспользоваться этой лазейкой могут и неаутентифицированные злоумышленники.
«Изменение в показателе CVSS, конечно, оказалось незначительным, но тот факт, что уязвимость могут эксплуатировать и неаутентифицированные лица, имеет большое значение для защитников», — сообщил специалист по кибербезопасности из Rapid7 в предупреждении, опубликованном в понедельник.
Несмотря на то, что патчи доступны уже более полугода, из 60,000 экземпляров GitLab полноценно против RCE-атак защитились только 21%, а около 50% все еще остаются для них уязвимыми.
Ввиду возможности именно неаутентифицированной эксплуатации уязвимости ожидается дальнейший рост активности злоумышленников, что говорит о желательно скорейшем обновлении пользователями GitLab до последней версии.
«Кроме того, в идеале сервис GitLab лучше не раскрывать для интернета», — рекомендуют исследователи. — «Если же вам нужен доступ к своему экземпляру через интернет, то рассмотрите возможность его ограждения посредством VPN».
Подробный технический анализ описанной уязвимости можно найти здесь.
