首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

大约30000台GitLab服务器仍未打上补丁:可被利用发起 DDoS

威胁分子正在利用GitLab自托管服务器中的一个安全漏洞以组建僵尸网络,并发动大规模的分布式拒绝服务(DDoS)攻击,其中一些攻击的速度更是超过了1 Tbps。

谷歌云负责谷歌DDoS防御工作的安全可靠性工程师Damian Menscher今天披露, DDoS攻击在钻CVE-2021-22205的空子,这是GitLab早在2021年4月就打上补丁的漏洞。

攻击针对GitLab的元数据删除功能

该漏洞由William Bowling发现,通过GitLab漏洞悬赏计划报告给了GitLab。该漏洞会影响ExifTool,这是用于从上传到Web服务器的图像中删除元数据的库。

就底层而言,GitLab在GitLab社区版(CE)和企业版(EE)中使用ExifTool,这是其服务的开源版和社区版,公司企业可以将它们安装在自己的服务器上,适用于这样的场景:它们想要在安全的环境中处理专有代码,但无法使用GitLab的基于云的服务。

Bowling在通过HackerOne网站提交的报告中表示,他发现了一种方法可滥用ExifTool如何处理用于扫描文档的DjVu文件格式的上传,从而对整台底层的GitLab Web服务器获得控制权。

据意大利安全公司HN Security声称,利用该漏洞的攻击从今年6月就开始了,该公司上周首次报告了漏洞被利用的迹象。

当时,HN的安全研究员Piergiovanni Cipolloni表示,该公司在发现随机命名的用户被添加到受感染的GitLab服务器后开始展开调查,这些用户很可能是由攻击者创建的,以便远程控制被黑的系统。

虽然HN Security尚不清楚这些攻击的意图,但昨天谷歌的Menscher表示,被黑的服务器是一个僵尸网络的一部分,该僵尸网络由“数千个受感染的GitLab实例”组成,正在发动大规模的DDoS攻击。

数千个被黑的GitLab实例(通过CVE-2021-22205被利用)组成的僵尸网络正在生成速度超过1 Tbps的DDoS攻击。请赶紧给您的服务器打上补丁!

大约30000台GitLab服务器仍未打上补丁

正如之前的许多其他案例所表明的那样,鉴于全球各地的公司在给软件(本例中的内部 GitLab服务器)打补丁方面很拖延,僵尸网络运营商似乎正大肆攻击。

据周一发布的Rapid7分析文章显示,超过60000台GitLab服务器连接到互联网,其中大约一半仍未针对CVE-2021-22205 ExifTool漏洞打上补丁。

这个漏洞的公共概念验证代码自6月以来就已公之于众,HN大概是在同一时间段发现首批攻击的。

值得注意的是,属于GitLab问题核心的ExifTool漏洞(CVE-2021-22204)也可能影响已部署该工具的其他类型的Web应用程序,因此可能也会传出其他系统被利用的报道,而其他类型的Web应用程序也可能需要打上补丁。

防止攻击的最简单方法是在服务器层面阻止DjVu文件的上传,如果公司不需要处理这种类型的文件的话。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20211107A0AUQM00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券