Dezenas de milhares de servidores GitLab não corrigidos sob ataque via CVE-2021-22205

Views: 77
0 0
Read Time:1 Minute, 37 Second

Os atacantes estão explorando ativamente uma vulnerabilidade “antiga” (CVE-2021-22205) para assumir os servidores GitLab no local, adverte o pesquisador da Rapid7 Jacob Baines. A má notícia adicional é que pelo menos metade das 60.000 instalações GitLab voltadas para a Internet que a empresa detecta não estão corrigidas contra esse problema.

O que os atacantes estão fazendo com esses servidores? Damian Menscher, engenheiro de confiabilidade de segurança responsável pela defesa DDoS no Google, diz que alguns deles são usados para gerar ataques DDoS:

Sobre o CVE-2021-22205

Remendada pelo GitLab em abril de 2021, a vulnerabilidade decorre da validação incorreta da interface web do serviço de arquivos de imagem passados para a versão incorporada do ExifTool do serviço e permite que os atacantes obtenham a execução remota de código sem ter que se autenticar no servidor primeiro.

“Existem várias explorações públicas publicadas recentemente para essa vulnerabilidade, e ela supostamente foi explorada na natureza desde junho ou julho de 2021. Esperamos que a exploração aumente à medida que os detalhes da natureza não autenticada dessa vulnerabilidade se tornarem mais amplamente compreendidos”, observou Baines.

Prevenção de exploração e resposta a incidentes

O CVE-2021-22205 afeta todas as versões do GitLab Enterprise Edition (EE) e do GitLab Community Edition (CE) a partir do 11.9, então qualquer uma das versões posteriores serve.

Aqueles que não conseguiram atualizar suas instâncias do GitLab são aconselhados a fazê-lo imediatamente. Eles também são instados a se abster de torná-lo um serviço voltado para a internet.

“Se você precisar acessar seu GitLab pela internet, considere colocá-lo atrás de uma VPN”, aconselhou Baines.

Rapid7 também publicou uma análise técnica e instruções sobre como as organizações podem verificar se seus servidores GitLab foram comprometidos e se são vulneráveis em primeiro lugar.

ATUALIZAÇÃO (5 de novembro de 2021, 01:00 PT):

Agora há um módulo Metasploit para CVE-2021-22205.

FONTE: HELPNET SECURITY

Previous post Segurança enxuta: Como pequenas equipes de segurança cibernética se saem nos níveis da Fortune 2000
Next post 11 chavões de cibersegurança que você deve parar de usar agora

Deixe um comentário