警觉的黑客在野外利用GitLab未经验证的RCE漏洞

网络安全研究人员警告称，GitLab web界面中一个现已修补的关键远程代码执行（RCE）漏洞已被检测为在野外被积极利用，使得大量面向互联网的GitLab实例容易受到攻击。

该问题被追踪为CVE-2021-22205，与用户提供的图像的不当验证有关，导致任意代码执行。该漏洞影响到从11.9开始的所有版本，自2021年4月14日以来，GITLabor在版本1388、137.6和137.3中得到了解决。

在HN安全部门上个月详细描述的一次真实世界的攻击中，两个具有管理员权限的用户帐户通过利用上述漏洞上传恶意负载“映像”，在属于一名匿名客户的可公开访问的GitLab服务器上注册，导致远程执行授予恶意帐户提升权限的命令。

据称，利用该漏洞的攻击最早于今年6月开始，与破解服务器所需的概念验证（PoC）代码的公开可用性相吻合。

虽然最初被认为是认证的RCE和分配CVSS分数为9.9的情况下，但严重程度评分在2021年9月21日被修改为10，这是因为它也可以由未经验证的威胁行动者触发。

网络安全公司Rapid7在周一发布的一份警报中表示：“尽管CVSS分数有微小的变化，但从认证到未认证的变化对捍卫者有很大的影响。”。

这家总部位于波士顿的公司收集的遥测数据显示，在6万个面向互联网的GitLab安装中，只有21%的实例针对该问题进行了完全修补，另外50%的实例仍然容易受到RCE攻击，尽管这些修补程序已经被抢夺了六个多月。

鉴于此漏洞的未经验证性质，预计攻击活动会增加，因此GitLab用户必须尽快更新到最新版本。“此外，理想情况下，GitLab不应该是面向互联网的服务，”研究人员说。“如果您需要从Internet上访问GITLAB，请考虑将其放置在VPN后面。”

与该漏洞相关的其他技术分析可在此处访问。

更新：据谷歌安全可靠性工程师达米安·门舍尔（Damian Menscher）称，威胁参与者现在正积极利用该安全漏洞，将未修补的GitLab服务器加入僵尸网络，并发起分布式拒绝服务（DDoS）攻击，其中一些攻击速度超过每秒1TB。