Cảnh báo! Tin tặc khai thác lỗ hổng RCE chưa được xác thực trên GitLab
Các nhà nghiên cứu an ninh mạng cảnh báo, một lỗ hổng thực thi mã từ xa quan trọng (RCE) hiện đã được vá trong giao diện web của GitLab đã được phát hiện là đang bị khai thác, các nhà nghiên cứu an ninh mạng cảnh báo, khiến một số lượng lớn các phiên bản GitLab trên internet dễ bị tấn công.
Tin tặc khai thác lỗ hổng RCE chưa được xác thực trên GitLab
Lỗ hổng này là CVE-2021-22205, vấn đề liên quan đến việc xác thực không đúng hình ảnh do người dùng cung cấp dẫn đến việc thực thi mã tùy ý. Lỗ hổng bảo mật, ảnh hưởng đến tất cả các phiên bản bắt đầu từ 11.9, kể từ đó đã được GitLab giải quyết vào ngày 14 tháng 4 năm 2021 trong các phiên bản 13.8.8, 13.9.6 và 13.10.3.
Một trong những cuộc tấn công thực tế được HN Security báo cáo chi tiết vào tháng trước, hai tài khoản người dùng có đặc quyền quản trị đã được đăng ký trên một máy chủ GitLab có thể truy cập công khai thuộc về một khách hàng giấu tên bằng cách khai thác lỗ hổng nói trên để tải lên một payload độc hại dẫn đến việc thực thi lệnh từ xa, bao gồm cả việc nhận được các quyền nâng cao.
Mặc dù lỗ hổng ban đầu được coi là một trường hợp của RCE đã xác thực và được chỉ định điểm CVSS là 9,9, xếp hạng mức độ nghiêm trọng đã được sửa đổi thành 10,0 vào ngày 21 tháng 9 năm 2021 do thực tế là nó cũng có thể được kích hoạt bởi các tác nhân đe dọa chưa được xác thực.
Công ty an ninh mạng Rapid7 cho biết trong một cảnh báo được công bố hôm thứ Hai rằng: “Bất chấp sự thay đổi nhỏ trong điểm CVSS, một sự thay đổi từ xác thực thành không xác thực có ý nghĩa lớn đối với những người an ninh mạng”.
Mặc dù các bản vá đã được cung cấp công khai trong hơn sáu tháng, trong số 60.000 bản cài đặt GitLab trên internet, chỉ có 21% trường hợp được cho là đã được vá đầy đủ để chống lại lỗ hổng, với 50% khác vẫn dễ bị tấn công RCE.
Do tính chất chưa được xác thực của lỗ hổng này, hoạt động khai thác dự kiến sẽ gia tăng, khiến người dùng GitLab phải cập nhật lên phiên bản mới nhất càng sớm càng tốt. Các nhà nghiên cứu cho biết: “Ngoài ra, về mặt lý tưởng, GitLab không nên là một dịch vụ kết nối với internet. “Nếu bạn cần truy cập GitLab của mình từ Internet, hãy cân nhắc đặt nó sau VPN.”
Bạn có thể xem phân tích kỹ thuật bổ sung liên quan đến lỗ hổng bảo mật này tại đây.
Ngoài ra, Winrar cũng bị dính 1 lỗ hổng RCE rất nghiêm trọng, bạn có thể đọc thêm tại đây.