0x00 风险概述
近日,GitLab中的一个未经身份验证的远程代码执行漏洞(CVE-2021-22205)被广泛利用,该漏洞已于4月修复,但目前仍有超过 30,000 个GitLab未修复此漏洞。
0x01 攻击详情
2021 年 4 月 14 日,GitLab修复了GitLab社区版(CE)和企业版(EE)中的一个远程代码执行漏洞,该漏洞跟踪为CVE-2021-22205,其CVSS评分为9.9(之后更改为10.0)。该漏洞是由于GitLab没有正确验证传递到文件解析器的image文件而导致的远程命令执行,远程攻击者可以利用此漏洞访问存储库,并删除、修改或窃取源代码。
2021年 6 月4日,该漏洞的EXP脚本在GitHub上公开,随后攻击者开始利用EXP来滥用有漏洞的ExifTool组件,攻击面向互联网的GitLab服务器,并创建新用户并赋予其管理员权限。攻击者不需要认证或使用CSRF token,甚至不需要有效的HTTP端点来使用该EXP。
根据Rapid7发布的报告,在他们发现的 60,000 个面向互联网的 GitLab 中,至少有 50% 没有修复这个RCE 漏洞,具体情况如下:
21%的安装已针对此漏洞进行了全面修补。
50%的安装未针对此漏洞进行修补。
29%的安装可能存在此漏洞,也可能不存在此漏洞。
但要修复CVE-2021-22205,管理员至少需要将GitLab CE/EE更新到13.10.3、13.9.6或13.8.8。
0x02 风险等级
高危。
0x03 影响范围
Gitlab CE/EE < 13.8.8
Gitlab CE/EE < 13.9.6
Gitlab CE/EE < 13.10.3
0x04 安全建议
目前此漏洞已经修复,鉴于该漏洞已被广泛利用,建议受影响的用户立即将Gitlab CE/EE升级更新到最新版本。
为了确保GitLab实例不易受到攻击,可以检查它对POST请求的响应,这些请求试图利用ExifTool对image文件的错误处理。修复版本对请求的响应应该是HTTP 404错误形式的拒绝。
另外,理想情况下,GitLab不应该是面向Internet 的服务。如果需要从 Internet 访问GitLab,请考虑将其置于VPN之后。
启明星辰VSRC已于2021年4月15日发布了此漏洞的安全公告:GitLab 4月远程代码执行漏洞。
0x05 参考链接
https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/
https://www.bleepingcomputer.com/news/security/over-30-000-gitlab-servers-still-unpatched-against-critical-bug/
https://thehackernews.com/2021/11/alert-hackers-exploiting-gitlab.html
https://www.rapid7.com/blog/post/2021/11/01/gitlab-unauthenticated-remote-code-execution-cve-2021-22205-exploited-in-the-wild/
0x06 版本信息
版本 | 日期 | 修改内容 |
V1.0 | 2021-11-03 | 首次发布 |
0x07 附录
启明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是国内最具实力的信息安全产品和安全管理平台、安全服务与解决方案的领航企业之一。公司总部位于北京市中关村软件园,在全国各省、市、自治区设立分支机构六十多个,拥有覆盖全国的销售体系、渠道体系和技术支持体系;并在华北、华东、西南和华南布局四大研发中心,分别为北京研发总部、上海研发中心、成都研发中心和广州研发中心。多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
