威胁分子正在利用GitLab自托管服务器中的一个安全漏洞以组建僵尸网络,并发动大规模的分布式拒绝服务(DDoS)攻击,其中一些攻击的速度更是超过了1 Tbps。
谷歌云负责谷歌DDoS防御工作的安全可靠性工程师Damian Menscher今天披露, DDoS攻击在钻CVE-2021-22205的空子,这是GitLab早在2021年4月就打上补丁的漏洞。
攻击针对GitLab的元数据删除功能
该漏洞由William Bowling发现,通过GitLab漏洞悬赏计划报告给了GitLab。该漏洞会影响ExifTool,这是用于从上传到Web服务器的图像中删除元数据的库。
就底层而言,GitLab在GitLab社区版(CE)和企业版(EE)中使用ExifTool,这是其服务的开源版和社区版,公司企业可以将它们安装在自己的服务器上,适用于这样的场景:它们想要在安全的环境中处理专有代码,但无法使用GitLab的基于云的服务。
Bowling在通过HackerOne网站提交的报告中表示,他发现了一种方法可滥用ExifTool如何处理用于扫描文档的DjVu文件格式的上传,从而对整台底层的GitLab Web服务器获得控制权。
据意大利安全公司HN Security声称,利用该漏洞的攻击从今年6月就开始了,该公司上周首次报告了漏洞被利用的迹象。
当时,HN的安全研究员Piergiovanni Cipolloni表示,该公司在发现随机命名的用户被添加到受感染的GitLab服务器后开始展开调查,这些用户很可能是由攻击者创建的,以便远程控制被黑的系统。
虽然HN Security尚不清楚这些攻击的意图,但昨天谷歌的Menscher表示,被黑的服务器是一个僵尸网络的一部分,该僵尸网络由“数千个受感染的GitLab实例”组成,正在发动大规模的DDoS攻击。
数千个被黑的GitLab实例(通过CVE-2021-22205被利用)组成的僵尸网络正在生成速度超过1 Tbps的DDoS攻击。请赶紧给您的服务器打上补丁!
大约30000台GitLab服务器仍未打上补丁
正如之前的许多其他案例所表明的那样,鉴于全球各地的公司在给软件(本例中的内部 GitLab服务器)打补丁方面很拖延,僵尸网络运营商似乎正大肆攻击。
据周一发布的Rapid7分析文章显示,超过60000台GitLab服务器连接到互联网,其中大约一半仍未针对CVE-2021-22205 ExifTool漏洞打上补丁。
这个漏洞的公共概念验证代码自6月以来就已公之于众,HN大概是在同一时间段发现首批攻击的。
值得注意的是,属于GitLab问题核心的ExifTool漏洞(CVE-2021-22204)也可能影响已部署该工具的其他类型的Web应用程序,因此可能也会传出其他系统被利用的报道,而其他类型的Web应用程序也可能需要打上补丁。
防止攻击的最简单方法是在服务器层面阻止DjVu文件的上传,如果公司不需要处理这种类型的文件的话。