Cảnh báo! Tin tặc khai thác lỗ hổng RCE chưa được xác thực trên GitLab

TricksMMO

Administrator
Staff member
.

Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng một lỗ hổng thực thi mã từ xa (RCE) trong giao diện web của Gitlab đã được vá hiện đang được khai thác trong tự nhiên, ảnh hưởng đến một số lượng lớn các phiên bản Gitlab trên Internet.

Lỗ hổng, được theo dõi là CVE-2021-22205, là vấn đề Bỏ qua xác thực do người dùng cung cấp cho phép thực thi mã tùy ý.Lỗ hổng, ảnh hưởng đến tất cả các phiên bản bắt đầu từ 11.9, đã được Gitlab vá vào ngày 14 tháng 4 năm 2021 trong các phiên bản 13.8.8, 13.9.6 và 13.10.3.

Trong một trong các cuộc tấn công được báo cáo bởi HN Security vào tháng trước, hai tài khoản người dùng có đặc quyền quản lý đã được đăng ký trên máy chủ Gitlab có thể truy cập công khai cho một khách hàng không được tiết lộ.Những kẻ tấn công sau đó đã khai thác lỗ hổng đã nói ở trên để tải lên một trọng tải độc hại dẫn đến việc thực hiện các lệnh từ xa, bao gồm đạt được các đặc quyền tăng cao.

Mặc dù lỗ hổng ban đầu được coi là một trường hợp RCE được xác thực và được chỉ định điểm CVSS là 9,9, mức độ nghiêm trọng đã được sửa đổi thành 10,0 vào ngày 21 tháng 9 năm 2021 do thực tế là nó cũng có thể được khai thác bởi các tác nhân đe dọa không xác thực.

Công ty an ninh mạng Rapid7 cho biết trong một cảnh báo được công bố hôm thứ Hai rằng "mặc dù có sự thay đổi nhỏ về điểm CVSS, một sự thay đổi từ xác thực sang không xác thực có ý nghĩa đối với những người làm việc trong an ninh mạng."

Mặc dù các bản vá đã có sẵn trong hơn sáu tháng, trong số 60.000 cài đặt Gitlab trên Internet, nhưng chỉ có 21% được cho là đã được vá hoàn toàn để giải quyết lỗ hổng, với 50% vẫn dễ bị tấn công RCE.

Do tính chất quan trọng của lỗ hổng này, hoạt động khai thác dự kiến sẽ tăng lên, vì vậy người dùng Gitlab nên cập nhật lên phiên bản mới nhất càng sớm càng tốt.Các nhà nghiên cứu cũng nói rằng "lý tưởng nhất, Gitlab không nên là một dịch vụ tiếp xúc với Internet."Nếu bạn cần truy cập gitlab của mình từ internet, hãy xem xét đặt nó sau VPN. "

Bạn có thể đọc phân tích kỹ thuật bổ sung liên quan đến lỗ hổng bảo mật này ở đây.

** Ngoài ra, Winrar cũng có lỗ hổng RCE rất nghiêm trọng, bạn có thể đọc thêm ở đây. **
=======================================
, rce, unauthenticated, git **GitLab RCE vulnerability exploited in the wild, 50% of installations still vulnerable**

Cybersecurity researchers have warned that a critical remote code execution (RCE) vulnerability in GitLab's web interface that has been patched is now being exploited in the wild, affecting a large number of GitLab versions on the Internet.

The vulnerability, tracked as CVE-2021-22205, is a user-supplied authentication bypass issue that allows arbitrary code execution. The flaw, which affects all versions starting from 11.9, was patched by GitLab on April 14, 2021 in versions 13.8.8, 13.9.6, and 13.10.3.

In one of the attacks reported by HN Security last month, two user accounts with management privileges were registered on a GitLab server that was publicly accessible to an undisclosed customer. The attackers then exploited the aforementioned vulnerability to upload a malicious payload that led to the execution of remote commands, including gaining elevated privileges.

Although the initial vulnerability was considered to be a case of authenticated RCE and assigned a CVSS score of 9.9, the severity rating was revised to 10.0 on September 21, 2021 due to the fact that it could also be exploited by unauthenticated threat actors.

Cybersecurity firm Rapid7 said in a warning published on Monday that "despite the small change in the CVSS score, a change from authenticated to unauthenticated is significant for those working in cybersecurity."

Although patches have been available for more than six months, out of 60,000 GitLab installations on the Internet, only 21% are thought to have been fully patched to address the vulnerability, with 50% still vulnerable to RCE attacks.

Due to the critical nature of this vulnerability, exploitation activity is expected to increase, so GitLab users are advised to update to the latest version as soon as possible. The researchers also said that "ideally, GitLab should not be a service exposed to the Internet." If you need to access your GitLab from the Internet, consider putting it behind a VPN."

You can read additional technical analysis related to this security vulnerability here.

**In addition, WinRAR also has a very serious RCE vulnerability, you can read more here.**
 
Join Telegram ToolsKiemTrieuDoGroup
Back
Top