DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Cảnh báo: Hacker tích cực khai thác lỗ hổng thực thi mã từ xa trong GitLab
[Update 5/11/2021]: Hiện hacker đang khai thác một lỗ hổng an ninh trong các máy chủ lưu trữ của GitLab để thiết lập các mạng botnet và khởi chạy các cuộc tấn công từ chối dịch vụ phân tán (DDoS) khổng lồ, với một số vượt quá 1 terabit mỗi giây (Tbps).
---------------------------------------------------
Các nhà nghiên cứu an ninh mạng cảnh báo, một lỗ hổng thực thi mã từ xa nghiêm trọng hiện đã được vá trong giao diện web của GitLab đã bị tin tặc khai thác.
Có mã định danh CVE-2021-22205, lỗ hổng an ninh bắt nguồn từ việc kiểm soát không chặt chẽ tệp hình ảnh do người dùng cung cấp dẫn đến việc thực thi mã tùy ý. Lỗ hổng ảnh hưởng đến tất cả các phiên bản từ 11.9, sau đó đã được GitLab giải quyết vào ngày 14 tháng 4 năm 2021 trong các phiên bản 13.8.8, 13.9.6 và 13.10.3.
Trong một bài đăng từ tháng trước, HN Security đã phát hiện các cuộc tấn công thực tế sử dụng lỗ hổng này. Bằng việc khai thác CVE-2021-22205, hacker tải lên mã độc dẫn đến việc thực thi mã từ xa, và nâng cao đặc quyền, từ đó tạo hai tài khoản với quyền quản trị.
Lỗ hổng được đánh giá với điểm CVSS 9.9 do yêu cầu xác thực để khai thác, tuy nhiên, sau khi phân tích, CVE-2021-22205 cũng có thể bị kích hoạt mà không cần xác thực, do đó, vào ngày 21 tháng 9, điểm CVSS nâng lên là 10. Phân tích kỹ thuật và khai thác liên quan đến lỗ hổng, bạn có thể tham khảo tại đây.
Nhà nghiên cứu từ Rapid7 cho biết, "Chỉ một thay đổi nhỏ trong điểm CVSS, nhưng có tác động rất lớn đến hành động của các quản trị viên hệ thống."
Theo thống kê, trong số 60.000 lượt cài đặt GitLab trên internet, chỉ có 21% đã triển khai bản vá đầy đủ, có tới 50% dễ bị tấn công RCE.
Do việc khai thác dễ dàng và không cần xác thực, số lượng các cuộc tấn công nhắm vào người dùng GitLab chắc chắn sẽ tăng đột biến. Để đảm bảo an toàn, người dùng nên cập nhật phiên bản GitLab mới nhất, "không nên kết nối GitLab trực tiếp với internet. Nếu cần phải truy cập từ internet, hãy thiết lập kết nối VPN cho GitLab."
---------------------------------------------------
Các nhà nghiên cứu an ninh mạng cảnh báo, một lỗ hổng thực thi mã từ xa nghiêm trọng hiện đã được vá trong giao diện web của GitLab đã bị tin tặc khai thác.
Có mã định danh CVE-2021-22205, lỗ hổng an ninh bắt nguồn từ việc kiểm soát không chặt chẽ tệp hình ảnh do người dùng cung cấp dẫn đến việc thực thi mã tùy ý. Lỗ hổng ảnh hưởng đến tất cả các phiên bản từ 11.9, sau đó đã được GitLab giải quyết vào ngày 14 tháng 4 năm 2021 trong các phiên bản 13.8.8, 13.9.6 và 13.10.3.
Trong một bài đăng từ tháng trước, HN Security đã phát hiện các cuộc tấn công thực tế sử dụng lỗ hổng này. Bằng việc khai thác CVE-2021-22205, hacker tải lên mã độc dẫn đến việc thực thi mã từ xa, và nâng cao đặc quyền, từ đó tạo hai tài khoản với quyền quản trị.
Lỗ hổng được đánh giá với điểm CVSS 9.9 do yêu cầu xác thực để khai thác, tuy nhiên, sau khi phân tích, CVE-2021-22205 cũng có thể bị kích hoạt mà không cần xác thực, do đó, vào ngày 21 tháng 9, điểm CVSS nâng lên là 10. Phân tích kỹ thuật và khai thác liên quan đến lỗ hổng, bạn có thể tham khảo tại đây.
Nhà nghiên cứu từ Rapid7 cho biết, "Chỉ một thay đổi nhỏ trong điểm CVSS, nhưng có tác động rất lớn đến hành động của các quản trị viên hệ thống."
Theo thống kê, trong số 60.000 lượt cài đặt GitLab trên internet, chỉ có 21% đã triển khai bản vá đầy đủ, có tới 50% dễ bị tấn công RCE.
Do việc khai thác dễ dàng và không cần xác thực, số lượng các cuộc tấn công nhắm vào người dùng GitLab chắc chắn sẽ tăng đột biến. Để đảm bảo an toàn, người dùng nên cập nhật phiên bản GitLab mới nhất, "không nên kết nối GitLab trực tiếp với internet. Nếu cần phải truy cập từ internet, hãy thiết lập kết nối VPN cho GitLab."
Theo: thehackernews
Chỉnh sửa lần cuối bởi người điều hành: