攻撃者は、このGitLabの脆弱性を悪用して、OSコマンドをリモートで実行できます。

企業が製品を保護するためにどれだけの長さを進んでも、攻撃者は常に一歩先を進んでおり、すべての保護を回避するための独創的な方法を見つけているようです。

この絶え間なく変化するオンラインの世界では、機密データを安全に保つことがますます増えています 難しいので、ここで積極的に悪用されている別の脆弱性について説明します 野生。

野生で積極的に悪用されている別のGitLabの脆弱性

HNセキュリティによると、インターネットに公開されたGitLab CEサーバーで、管理者権限を持つ2つの疑わしいユーザーアカウントが見つかりました。

どうやら、これらの2人のユーザーは、2021年6月から7月の間に、ランダムに見えるユーザー名で登録されていたようです。 これが可能だったのは、このバージョンのGitLabCEではデフォルトでユーザー登録が許可されているためです。

さらに、登録時に提供されたメールアドレスはデフォルトでは確認されません。 これは、新しく作成されたユーザーがそれ以上の手順なしで自動的にログオンすることを意味します。

さらに複雑なことに、管理者に通知はまったく送信されません。

アップロードされた添付ファイルの1つが専門家の注意を引いたため、専門家は独自のGitLabサーバーをセットアップし、実際に実際に観察したものを複製しようとしました。

最近リリースされたエクスプロイト CVE-2021-22205 任意のOSコマンドをリモートで実行するためにアップロード機能を悪用します。

上記の脆弱性は、画像からメタデータを削除するために使用されるオープンソースツールであるExifToolに存在し、アップロードされた画像に埋め込まれた特定のメタデータの解析に失敗します。

GitLabは、RedisやNginxなどの複数の要素で構成されています。 アップロードを処理するものはgitlab-workhorseと呼ばれ、最後の添付ファイルをRailsに渡す前にExifToolを呼び出します。

ログを深く掘り下げると、Workhorseログ内で2つのアップロードが失敗したという証拠が少し明らかになりました。

パブリックエクスプロイトで使用されるこのペイロードはリバースシェルを実行できますが、お客様に対して使用されるペイロードは、以前に登録された2人のユーザーの管理者の権利をエスカレートするだけです。

echo'user = User.find_by（username： "czxvcxbxcvbnvcxvbxv"）; user.admin = "true"; user.save！ ' | gitlab-rails console / usr / bin / echo dXNlciA9IFVzZXIuZmluZF9ieSh1c2VybmFtZTogImN6eHZjeGJ4Y3ZibnZjeHZieHYiKTt1c2VyLmFkbWluPSJ0cnVlIjt1c2VyLnNhdmUh | base64 -d | / usr / bin / gitlab-railsコンソール

したがって、基本的に、特権昇格の脆弱性と思われるものは、実際にはRCEの脆弱性であることが判明しました。

セキュリティの専門家が説明したように、悪用プロセス全体は2つの要求に要約されます。

デフォルトのGitLabインストール（バージョン13.10.2まで）では、有効なプロジェクトを見つけるためにAPIを悪用する必要はなく、問題を開く必要もありません。最も重要なのは 認証する必要はありません.

この記事に記載されているすべての脆弱性（ExifTool、APIの悪用、ユーザー登録など）は、執筆時点では最新のGitLabCEバージョンには存在しません。

ただし、不幸な経験をしないように、オンラインであることに関係するものを扱うときは注意することを強くお勧めします。

この状況についてどう思いますか？ 以下のコメントセクションで私たちとあなたの意見を共有してください。