Позначка: RCE

У GitLab виявили RCE-вразливість, що може призвести до втрати контролю над вашим комп’ютером

Дослідники кібербезпеки попереджають, що вразливість віддаленого виконання коду (RCE) у веб-інтерфейсі GitLab, як і раніше, активно експлуатується хакерами, наражаючи на небезпеку велику кількість екземплярів сервісу.

Вразливість CVE-2021-22205, відноситься до невірної валідації наданих користувачем зображень, що дозволяє виконувати довільний код, що міститься в них. Цій до цієї загрози вразливі як версії GitLab Community Edition (CE) так і GitLab Enterprise Edition (EE) , починаючи з версії 11.9. Патч, який виправляє цю проблему, випустили 14 квітня 2021 року для версій 13.8.8, 13.9.6 та 13.10.3.

В одній з реальних атак, що були описані HN Security минулого місяця, на загальнодоступному сервері GitLab (що належить неназваному клієнту), було зареєстровано два облікові записи, що отримали права адміністратора. Підвищення їх привілеїв було зроблено шляхом віддаленого виконання команд, що міститься в завантажених через цю прогалину в безпеці заражених зображеннях.

Незважаючи на те, що вразливість спочатку розглядалася лише як автентифіковане віддалене виконання коду та отримала бал CVSS 9.9, 21 вересня 2021 його значення було підвищено до 10.0. Причина в тому, що скористатися цією лазівкою можуть і неавтентифіковані зловмисники.

GitLab CVE-2021-22205
Повідомлення від користувача на форумі GitLab про знайдену вразливість

Зміна в оцінці вразливості за шкалою CVSS, звичайно, виявилася незначною, але той факт, що вразливість можуть експлуатувати і неавтентифіковані особи, має велике значення для захисників”, – повідомив фахівець із кібербезпеки з Rapid7 у попередженні, опублікованому в понеділок.

Незважаючи на те, що патчі доступні вже більше півроку, з 60,000 вразливих користувачів GitLab повноцінно проти RCE-атак захистилися лише 21%, а близько 50% все ще залишаються для них вразливими.

Зважаючи на можливість саме неавтентифікованої експлуатації вразливості, очікується подальше зростання активності зловмисників, що говорить про бажане якнайшвидше оновлення користувачами GitLab до останньої версії.

Крім того, в ідеалі сервіс GitLab краще не розкривати для загальної мережі”, – рекомендують дослідники. – «Якщо вам потрібен доступ до свого екземпляра через інтернет, то розгляньте можливість його огородження за допомогою VPN».

GitLab закликає користувачів якнайшвидше встановити оновлення порушених версій, а також надав обхідний шлях для тих, хто не може оновити прошивку. Платформа порекомендувала відключити функцію імпорту GitLab на вкладці «Видимість та керування доступом» у меню «Налаштування» після автентифікації з правами адміністратора. На даний момент не відомо, чи ця вразливість використовується в атаках.

Windows 10: віддалене виконання коду через уніфікований ідентифікатор ресурсів

Двоє дослідників виявили проблему вразливості в Windows 10, яка допускає виконання коду в Windows 10 через IE11/Edge Legacy і MS Teams, активовану введенням аргументу в уніфікований ідентифікатор ресурсів за замовчуванням у Windows 10/11 для ms-officecmd: URI. У своєму звіті, опублікованому у власному блозі дослідників, вони подають розгорнуте висвітлення своїх висновків і додають оригінальний звіт зроблений в MSRC. Лукас Ейлер і Фабіан Броунлайн спочатку відправили результати своєї роботи в Майкрософт через https://msrc.microsoft.com/ 10 березня цього року, але компанія відхилила роботу, пояснивши, що «[..] ваш звіт, схоже, описує випадок соціальної інженерії[.. ]”.

Виявлена вразливість дозволяє виконання віддаленого коду

У блозі вони пояснили, що відмова була помилково зроблена. А після повторного звернення Майкрософт знову розглянула звіт і присвоїла описаній вразливості класифікацію «Критична, віддалене виконання коду». Проте в реєстр вразливостей її не було внесено і жодних попереджень для користувачів не було опубліковано. У наступній заяві Майкрософт пояснила свої дії:

« На жаль, щодо даного звіту не було опубліковано попереджень для користувачів чи саму вразливість внесено до реєстру. Причина полягає в тому, що більшість вразливостей вносяться в реєстр для пояснення нашим користувачам, чому певні виправлення надсилаються через Windows Update і чому їх слід інсталювати. Зміни на веб-сайтах, завантаження через Defender або через Store зазвичай не вносяться до реєстру.

Дослідники склали список модливих атак з використання вразливості

Взагалі, вразливість знаходиться в обробнику URI за замовчуванням у Windows 10 і може бути використана з різних програм. Тобто, коли користувач Windows 10 натискає шкідливе посилання «ms-officecmd:» у будь-якій програмі, довільні команди можуть виконуватися на комп’ютері жертви або відвідує шкідливий веб-сайт за допомогою Edge. Експлуатація через інші браузери змушує жертву клікнути на непримітне діалогове вікно підтвердження. З іншого боку, шкідливий URI може бути надісланий через настільну програму, яка виконує небезпечну обробку URL-адрес. У своїй публікації дослідники вказують, що окрім прямого RCE через –gpu-launcher можливі кілька інших сценаріїв атаки:

  • Введення аргументів, що стосуються програми, напр. перемикач /l у Word, щоб завантажити надбудову з шляху UNC. (хоча дослідники перевірили, що шляхи UNC отримані, вони не оцінили ефект завантаження шкідливих надбудов Office);
  • Введення параметра –host-rules для повного Electron MitM (повторний контроль над маркерами аутентифікації та повідомленнями Teams);
  • Введення параметра –inspect=0.0.0.0:1234 для створення локального сервера налагодження вузла за допомогою програми Electron. Потім зловмисник у локальній мережі може приєднатися до порту й використовувати нейтів код (також перевірено дослідниками зі Skype як експеримент).

Крім того, з’явилася можливість ще двох атак

Крім того, окрім введення аргументів, вони виявили можливість наступних двох атак:

  • Запуск Outlook із URL-адресою у форматі C:/…/some.exe/ (додаткова похила риска для проходження перевірки AppBridge.dll) змушує Outlook аналізувати посилання як посилання на локальний файл і переспрямовувати на/відкривати/виконати файл . Саме тому його можна включити в поведінку автоматичного завантаження Chrome для отримання довільного виконання коду після видачі попередження безпеки;
  • Запуск Outlook із веб-адресою як параметром, що відкриває цю веб-сторінку в Outlook, створюючи можливість для фішингових атак.

Хоча згідно з програмою MS Bounty результати могли би бути кваліфіковані до отримання винагороди в 50 тисяч доларів, замість цього вони отримали лише 5 тисяч доларів. Компанія випустила патч через 5 місяців, але, за словами дослідників, «не змогла належним чином вирішити проблему введення основного аргументу». Дослідники кажуть, що експлойт все ще присутній у Windows 11, і, враховуючи, скільки обробників URI має Windows, є можливість,що вони також вразливі.