11月4日,谷歌云安全可靠性工程师 Damian Menscher 在推特上指出,根据CVE-2021-22205 漏洞利用报告,有攻击者正在利用 GitLab 托管服务器上的安全漏洞来构建僵尸网络,并发起规模惊人的分布式拒绝服务攻击(DDoS)。其中一些攻击的峰值流量,甚至超过了1Tbps 。而这个被利用的漏洞,正是GitLab在2021年4月修补的漏洞。
据报道,该漏洞由 William Bowling 发现,并通过漏洞赏金计划提交给了GitLab官方。
此漏洞会对ExifTool造成影响,ExifTool是一个用于将图像上传到 Web 服务器、并剔除元数据的库。
GitLab在社区版(CE)和企业版(EE)上均使用了ExifTool,且公司能够将其服务的开源/商业版本安装在自己的服务器上。这样一来,企业能够专注于他们想要处理专有代码的场景安全环境,而无需使用基于云端的GitLab服务。然而在向HackerOne提交的一份报告中,Bowling称其发现了一种滥用ExifTool的方法,可被用于扫描DjVu格式的文档,进而控制整个底层GitLab网络服务器。
意大利安全公司HN Security上周首次报告了这一漏洞被利用的迹象,该公司指出,攻击可追溯到今年6月份。
安全研究员Piergiovanni Cipolloni表示,在发现有随机命名的用户被添加到受感染的GitLab服务器后,他们随即对此展开了调查。这些用户很可能是由攻击者一手创建,旨在对受害系统实施远程控制。
尽管HN安全部门目前还不清楚这些攻击的目的,但谷歌的工程师 Damian Menscher表示,被黑客攻击的服务器是某巨型僵尸网络的一部分,该僵尸网络由"数千个受感染的GitLab实例"组成,并且正在发动大规模的DDoS攻击。
GitLab已提供了超过六个月的补丁服务,然而遗憾的是,针对面向互联网的GitLab实例分析表明,大量实例仍然是脆弱的。Rapid7于周一发布的帖子显示,有超过60,000台GitLab服务器连接到互联网,尽管GitLab已于2021年4月完成了修补工作,但其中大约有30,000台GitLab服务器仍未修补CVE-2021-22205 ExifTool漏洞。
参考链接:
https://therecord.media/gitlab-servers-are-being-exploited-in-ddos-attacks-in-excess-of-1-tbps/
https://www.rapid7.com/blog/author/jake-baines/
https://security.humanativaspa.it/gitlab-ce-cve-2021-22205-in-the-wild/
