腾讯云容器安全服务(TCSS)产品团队
腾讯云容器安全服务(TCSS)捕获GitLab ExifTool RCE漏洞(CVE-2021-22205)在公有云的在野攻击案例,漏洞利用导致业务容器内被植入后门程序。攻击者利用漏洞攻击后,企业业务容器会被植入门罗币挖矿程序、后门程序、或其他木马。
漏洞编号:CVE-2021-22205
漏洞等级:
严重,初始CVSS评分:9.9。
之后在 2021 年 9 月 21 日,GitLab官方将 CVSS评分修改为最高的 10.0。
漏洞影响版本:
11.9.0 <= Gitlab CE/EE < 13.8.8
13.9.0 <= Gitlab CE/EE < 13.9.6
13.10.0 <= Gitlab CE/EE < 13.10.3
漏洞在野利用事件描述:
GitLab是美国GitLab公司的一款使用RubyonRails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等,可通过Web界面访问公开或私人项目。由于GitLab存在未授权的端点,导致该漏洞在无需进行身份验证的情况下即可进行利用。
腾讯安全10月28日、29日分别发布过漏洞风险通告及在野利用通告,后陆续发现黑产组织利用该漏洞大量攻击云主机(参考链接:https://mp.weixin.qq.com/s/WQtx1ujwfN-Vybl7DJgBuw)
腾讯云容器安全服务(TCSS)近期对开发人员常用的容器镜像进行安全检测,结果发现:存在GitLab ExifTool RCE漏洞的风险镜像228个,存在风险的镜像文件曾被广泛下载使用。安全检测数据表明,已有个别客户因使用存在该漏洞的风险镜像而发生入侵事件。
漏洞修复建议:
腾讯安全专家建议政企机构开发者及时升级Gitlab到最新版本,或使用已修复漏洞的最新Gitlab镜像,配置访问控制策略,避免受影响的Gitlab暴露在公网。
参考:https://about.gitlab.com/update/
推荐从可靠可信的云服务厂商官方网站下载安全镜像:
https://hub.docker.com/r/gitlab/gitlab-ce
https://hub.docker.com/r/gitlab/gitlab-ee
建议使用腾讯容器安全服务(TCSS)对已使用的镜像进行安全扫描,存在风险的过期镜像文件建议弃用。在日常运维工作需要使用容器镜像前,使用文件查杀功能扫描容器内是否存在木马、病毒文件。
腾讯容器安全服务(TCSS)检测到存在Gitlab ExifTool RCE漏洞风险的镜像:
漏洞利用后,会导致这个镜像拉起的容器被入侵。目前观察到有个别客户因未及时修复漏洞,导致容器被挖矿、被植入后门程序。
容器安全服务-镜像安全-本地镜像控制台链接:https://console.cloud.tencent.com/tcss/security/image
容器安全服务-运行时安全-文件查杀控制台链接:https://console.cloud.tencent.com/tcss/runtime/tojanDetection
关于腾讯容器安全服务(TCSS)
腾讯容器安全服务(Tencent Container Security Service, TCSS)提供容器资产管理、镜像安全、运行时入侵检测等安全服务,保障容器从镜像生成、存储到运行时的全生命周期,帮助企业构建容器安全防护体系。
更多信息,可参考腾讯云官方网站介绍:
https://cloud.tencent.com/product/tcss
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报
