This post is also available in: Português
Uma falha crítica de execução remota de código não autenticada do GitLab, corrigida em 14 de abril deste ano, permanece explorável, com mais de 50% das implantações permanecendo sem a atualização que corrige as falhas.
A vulnerabilidade, rastreada como CVE-2021-22205, tem uma pontuação CVSS v3 de 10.0, permitindo que um cibercriminoso remoto não autenticado execute comandos arbitrários como o usuário ‘git’ (administrador do repositório).
Essa vulnerabilidade dá ao invasor remoto acesso total ao repositório, incluindo exclusão, modificação e roubo de código-fonte.
Os crackers começaram a explorar servidores GitLab em junho deste ano, para criar novos usuários e conceder a eles direitos de administrador.
Os cibercriminosos usaram um exploit, publicado no GitHub em 4 de junho, permitindo que abusassem do componente ExifTool vulnerável. Eles não precisam autenticar ou usar um token CSRF ou mesmo uma conexão HTTP válida para usar a exploração.
Com a exploração continuando até hoje, os pesquisadores da Rapid7 decidiram examinar o número de sistemas não corrigidos e determinar o escopo do problema.
Segundo um relatório publicado pela Rapid7, pelo menos 50% das 60 mil instalações do GitLab abertas para a Internet não foram corrigidas contra a falha crítica de RCE, que receberam a correção 6 meses atrás.
Além disso, outros 29% podem ou não estar vulneráveis, já que os analistas não conseguiram extrair um fragmento de versão desses servidores.
Os administradores precisam atualizar para uma das seguintes versões para corrigir a falha:
- 13,10.3
- 13,9.6
- 13,8.8
Todas as versões anteriores a essa, e até a 11.9, são vulneráveis à exploração, quer você esteja usando o GitLab Enterprise Edition (EE) ou o GitLab Community Edition (CE).
Caso você precise de mais detalhes sobre como atualizar o GitLab, acesse este link, que possui todas as informações necessárias.
Para garantir que sua instancia do GitLab não seja vulnerável à exploração, você pode verificar sua resposta às solicitações POST que tentam explorar o manuseio incorreto de arquivos de imagem do ExifTool.
As versões corrigidas ainda permitem que alguém entre em contato com o ExifTool, mas a resposta à solicitação deve ser uma rejeição na forma de um erro HTTP 404.
This post is also available in: Português