공격자는 이 GitLab 취약점을 악용하여 원격으로 OS 명령을 실행할 수 있습니다.

기업이 제품을 보호하기 위해 얼마만큼의 노력을 기울이든 상관없이 공격자는 항상 한 발 앞서 모든 보호를 우회할 수 있는 독창적인 방법을 찾는 것 같습니다.

끊임없이 변화하는 온라인 세계에서 민감한 데이터를 안전하게 보호하는 것이 점점 더 중요해지고 있습니다. 어렵습니다. 우리는 여기에서 활발히 악용되고 있는 또 다른 취약점에 대해 알려드리고자 합니다. 야생.

야생에서 적극적으로 악용되는 또 다른 GitLab 취약점

HN 시큐리티에 따르면, 관리자 권한을 가진 두 개의 의심스러운 사용자 계정이 인터넷에 노출된 GitLab CE 서버에서 발견되었습니다.

분명히 이 두 사용자는 2021년 6월에서 7월 사이에 임의의 사용자 이름으로 등록되었습니다. 이 버전의 GitLab CE는 기본적으로 사용자 등록을 허용하기 때문에 가능했습니다.

또한 등록 시 제공한 이메일 주소는 기본적으로 확인되지 않습니다. 즉, 새로 생성된 사용자는 추가 단계 없이 자동으로 로그온됩니다.

문제를 더 복잡하게 만들기 위해 관리자에게 알림이 전혀 전송되지 않습니다.

업로드 된 첨부 파일 중 하나가 전문가의 관심을 끌었고 자체 GitLab 서버를 설정하고 실제로 야생에서 관찰 한 내용을 복제하려고 시도했습니다.

최근에 공개된 익스플로잇 CVE-2021-22205 임의의 OS 명령을 원격으로 실행하기 위해 업로드 기능을 남용합니다.

위에서 언급한 취약점은 이미지에서 메타데이터를 제거하는 데 사용되는 오픈 소스 도구인 ExifTool에 있으며, 업로드된 이미지에 포함된 특정 메타데이터를 구문 분석하는 데 실패합니다.

GitLab은 Redis 및 Nginx와 같은 여러 요소로 구성됩니다. 업로드를 처리하는 것은 gitlab-workhorse라고 하며, 최종 첨부 파일을 Rails에 전달하기 전에 ExifTool을 호출합니다.

로그를 더 깊이 파고들면 Workhorse 로그 내에서 두 번의 업로드 실패에 대한 증거가 조금 발견되었습니다.

공개 익스플로잇에 사용된 이 페이로드는 리버스 셸을 실행할 수 있는 반면 고객에 대해 사용된 페이로드는 단순히 이전에 등록된 두 사용자의 권한을 관리자에게 에스컬레이션했습니다.

echo 'user = User.find_by (사용자 이름: "czxvcxbxcvbnvcxvbxv");user.admin="true";user.save!' | gitlab-rails 콘솔 /usr/bin/echo dXNlciA9IFVzZXIuZmluZF9ieSh1c2VybmFtZTogImN6eHZjeGJ4Y3ZibnZjeHZieHYiKTt1c2VyLmFkbWluPSJ0cnVlIjt1c2VyLnNhdmUh | base64 -d | /usr/bin/gitlab-rails 콘솔

따라서 기본적으로 권한 상승 취약점으로 보이는 것이 실제로는 RCE 취약점으로 판명되었습니다.

보안 전문가가 설명했듯이 전체 악용 프로세스는 단 두 가지 요청으로 요약됩니다.

기본 GitLab 설치(버전 13.10.2까지)에서는 유효한 프로젝트를 찾기 위해 API를 남용할 필요가 없으며 문제를 열 ​​필요가 없으며 가장 중요한 것은 인증할 필요가 없습니다.

기사에 설명된 모든 취약점(ExifTool, API 남용, 사용자 등록 등)은 작성 당시 최신 GitLab CE 버전에 존재하지 않습니다.

그러나 불행한 경험이 없도록 온라인 상태와 관련된 모든 것을 다룰 때 주의할 것을 강력히 권고합니다.

이 상황에 대해 어떻게 생각하십니까? 아래 의견 섹션에서 의견을 공유하십시오.