Дослідники кібербезпеки попереджають, що вразливість віддаленого виконання коду (RCE) у веб-інтерфейсі GitLab, як і раніше, активно експлуатується хакерами, наражаючи на небезпеку велику кількість екземплярів сервісу.
Вразливість CVE-2021-22205, відноситься до невірної валідації наданих користувачем зображень, що дозволяє виконувати довільний код, що міститься в них. Цій до цієї загрози вразливі як версії GitLab Community Edition (CE) так і GitLab Enterprise Edition (EE) , починаючи з версії 11.9. Патч, який виправляє цю проблему, випустили 14 квітня 2021 року для версій 13.8.8, 13.9.6 та 13.10.3.
В одній з реальних атак, що були описані HN Security минулого місяця, на загальнодоступному сервері GitLab (що належить неназваному клієнту), було зареєстровано два облікові записи, що отримали права адміністратора. Підвищення їх привілеїв було зроблено шляхом віддаленого виконання команд, що міститься в завантажених через цю прогалину в безпеці заражених зображеннях.
Незважаючи на те, що вразливість спочатку розглядалася лише як автентифіковане віддалене виконання коду та отримала бал CVSS 9.9, 21 вересня 2021 його значення було підвищено до 10.0. Причина в тому, що скористатися цією лазівкою можуть і неавтентифіковані зловмисники.
Зміна в оцінці вразливості за шкалою CVSS, звичайно, виявилася незначною, але той факт, що вразливість можуть експлуатувати і неавтентифіковані особи, має велике значення для захисників”, – повідомив фахівець із кібербезпеки з Rapid7 у попередженні, опублікованому в понеділок.
Незважаючи на те, що патчі доступні вже більше півроку, з 60,000 вразливих користувачів GitLab повноцінно проти RCE-атак захистилися лише 21%, а близько 50% все ще залишаються для них вразливими.
Зважаючи на можливість саме неавтентифікованої експлуатації вразливості, очікується подальше зростання активності зловмисників, що говорить про бажане якнайшвидше оновлення користувачами GitLab до останньої версії.
Крім того, в ідеалі сервіс GitLab краще не розкривати для загальної мережі”, – рекомендують дослідники. – «Якщо вам потрібен доступ до свого екземпляра через інтернет, то розгляньте можливість його огородження за допомогою VPN».
GitLab закликає користувачів якнайшвидше встановити оновлення порушених версій, а також надав обхідний шлях для тих, хто не може оновити прошивку. Платформа порекомендувала відключити функцію імпорту GitLab на вкладці «Видимість та керування доступом» у меню «Налаштування» після автентифікації з правами адміністратора. На даний момент не відомо, чи ця вразливість використовується в атаках.