Các nhà nghiên cứu bảo mật quốc tế vừa phát đi thông báo khẩn về một lỗ hổng nghiêm trọng có liên quan đến hành vi thực thi mã từ xa trên GitLab, vốn đã được ghi nhận từ ngày 14 tháng 4 năm 2021, nhưng cho đến nay vẫn có thể khai thác được trong tự nhiên. Đáng chú ý, đang có tới hơn 30.000 máy chủ GitLab được xác định có thể bị tổn thương bởi lỗ hổng này - một con số đáng báo động.
Lỗ hổng hiện được theo dõi với mã định danh CVE-2021-22205, và có điểm CVSS v3 đạt 10,0 - mức nghiêm trọng. Nó cho phép kẻ tấn công xâm nhập hệ thống từ xa, bỏ qua xác thực, và thực thị các lệnh tùy ý với tư cách là người dùng 'git' (quản trị viên kho lưu trữ). Hiểu theo cách đơn giản, CVE-2021-22205 có thể cung cấp cho kẻ tấn công từ xa toàn quyền truy cập vào kho lưu trữ, cũng như thực hiện các hành vi như xóa, sửa đổi và đánh cắp mã nguồn.
Hoạt động tấn công thực tế
Kết quả điều tra cho thấy tin tặc bắt đầu khai thác lỗ hổng nguy hiểm này trên các máy chủ GitLab sử dụng internet vào tháng 6 năm 2021, để tạo người dùng mới và cấp cho chúng quyền quản trị.
Các tác nhân độc hại đã sử dụng một kỹ thuật khai thác tương đối tinh vi, cho phép chúng lạm dụng thành phần ExifTool dễ bị tổn thường. Đáng chú ý, hacker hoàn toàn không cần xác thực, sử dụng mã thông báo CSRF, hoặc thậm chí một điểm cuối HTTP hợp lệ để tiến hành khai thác.
Với thực tế là các hành vi khai thác vẫn tiếp diễn cho đến thời điểm hiện tại, các nhà nghiên cứu đến từ đội ngũ Rapid7 đã quyết định thực hiện một cuộc điều tra chuyên sâu nhằm xem xét số lượng hệ thống chưa được, đồng thời xác định phạm vi cơ bản của vấn đề. Kết quả cho thấy có ít nhất 50% trong số 60.000 bản cài đặt GitLab trên internet mà họ tìm thấy không được vá lỗ hổng RCE nghiêm trọng này.
Hơn nữa, 29% số còn lại cũng có nguy cơ bị tấn công hoặc không, vì các nhà phân tích không thể trích xuất chuỗi phiên bản cho các máy chủ đó.
Quản trị viên hệ thống được khuyến nghị cập nhật lên một trong các phiên bản sau để vá lỗ hổng:
- 13.10.3
- 13.9.6
- 13.8.8
Bất kỳ phiên bản nào trước đó và từ 11.9 trở xuống đều bị ảnh hưởng bởi lỗ hổng, cho dù là GitLab Enterprise Edition (EE) hay GitLab Community Edition (CE).
Để đảm bảo rằng phiên bản GitLab của mình không dễ bị khai thác, các quản trị viên có thể kiểm tra phản hồi của hệ thống đối với các yêu cầu POST cố gắng khai thác việc xử lý sai các tệp hình ảnh của ExifTool.
Các phiên bản được vá vẫn cho phép kết nối với ExifTool, nhưng phản hồi cho yêu cầu phải là một thông báo từ chối dưới dạng lỗi HTTP 404.