Lỗi RCE chưa được xác thực trong Gitlab bị tin tặc khai thác rộng rãi

Các nhà nghiên cứu an ninh mạng từ Rapid7 cảnh báo một lỗ hổng thực thi mã từ xa ( RCE ) quan trọng  được tìm thấy trong giao diện web GitLab hiện đã được vá. Và lỗ hổng này được khai thác tích cực trong các cuộc tấn công mạng, khiến nhiều phiên bản GitLab được kết nối Internet dễ bị tấn công. 

Lỗ hổng này được đặt tên là CVE-2021-22205 và là lỗ hổng thực thi mã từ xa (RCE) chưa được xác thực.

Sau khi điều tra kỹ lưỡng, người ta cho rằng vấn đề này có liên quan đến việc xác thực không đúng hình ảnh do người dùng cung cấp gây thực thi mã tùy ý từ xa. 

  • CVE: CVE-2021-22205
  • Vá khẩn cấp: CÀNG SỚM CÀNG TỐT
  • Cập nhật lần cuối: ngày 1 tháng 11 năm 2021

Ở đây chúng ta đề cập đến tất cả các phiên bản được vá dưới đây: –

  • 13.10.3
  • 13.9.6
  • 13.8.8

Tình hình khai thác

Khi các tác nhân đe dọa lần đầu tiên ghi nhận một số thông tin sơ bộ về cuộc tấn công này rằng họ đã bắt đầu khai thác các máy chủ GitLab chạy trên internet vào tháng 6 năm 2021, với động cơ tạo ra người dùng mới và cấp cho họ tất cả các quyền quản trị.

Ngoài ra, các tác nhân đe dọa không yêu cầu xác minh hoặc sử dụng mã thông báo CSRF; và không yêu cầu điểm cuối HTTP hợp lệ để sử dụng khai thác.

Mặc dù đã có các bản vá trong hơn sáu tháng, chỉ có 21% trong số 60.000 bản cài đặt GitLab có kết nối internet được vá đầy đủ cho sự cố cụ thể này.

Tuy nhiên, 50% còn lại vẫn được thừa nhận là dễ bị tấn công bởi RCE. Do đó, các chuyên gia bảo mật đã đề nghị mỗi người dùng nâng cấp GitLab của họ lên phiên bản tiên tiến nhất càng sớm càng tốt.

  • 21% lượt cài đặt đã được vá hoàn toàn chống lại sự cố này.
  • 50% lượt cài đặt không được vá cho vấn đề này.
  • 29% lượt cài đặt có thể dễ bị tấn công hoặc không.

Giảm nhẹ

Tuy nhiên, nhóm ứng phó mối đe dọa khẩn cấp của Rapid7 đã cung cấp phân tích kỹ thuật đầy đủ về CVE-2021-22205 . Và họ khuyến nghị tất cả người dùng GitLab ngay lập tức cập nhật phiên bản dễ bị tấn công lên phiên bản GitLab mới nhất.

Hơn nữa, GitLab không nên được sử dụng như một dịch vụ trực tiếp qua internet, trong trường hợp nếu bất kỳ người dùng nào cần truy cập GitLab của họ từ internet, họ nên cân nhắc đặt nó sau VPN.

Theo GbHacker

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s