Google 雲安全可靠性工程師 Damian Menscher 在今日披露的 CVE-2021-22205 漏洞利用報告中指出:有攻擊者正在利用 GitLab 託管服務器上的安全漏洞來構建殭屍網絡,併發起規模驚人的分佈式拒絕服務攻擊(DDoS)。其中一些攻擊的峰值流量,甚至超過了 1 Tbps 。
攻擊盯上了 GitLab 的元數據刪除功能
The Record 報道稱:該漏洞由 William Bowling 發現,並通過漏洞賞金計劃提交給了 GitLab 官方。
具體受影響的組件被稱作 ExifTool,它是一個用於將圖像上傳到 Web 服務器、並剔除元數據的庫。
GitLab 在社區版(CE)和企業版(EE)上均使用了 ExifTool,且公司能夠將其服務的開源 / 商業版本安裝在自己的服務器上。
這樣一來,企業能夠專註於他們想要處理專有代碼的場景安全環境,而無需使用基於雲端的 GitLab 服務。
(圖自:HN Security)
然而在向 HackerOne 提交的一份報告中,Bowling 稱其發現了一種濫用 ExifTool 的方法,可被用於掃描 DjVu 格式的文檔上傳,進而獲得對整個底層 GitLab 網絡服務器的控制。
上周首次披露漏洞利用跡象的意大利安全公司 HN Security 指出,攻擊可追溯到今年 6 月份。
當時安全研究員 Piergiovanni Cipolloni 表示,在發現有隨機命名的用戶被添加到受感染的 GitLab 服務器后,他們隨即對此展開了調查。這些用戶很可能是由攻擊者一手創建,旨在對受害系統實施遠程控制。
儘管 HN Security 尚不清楚這些攻擊的目的,但 Google 工程師 Damian Menscher 已於昨日表示,被黑服務器屬於某個巨型殭屍網絡的一部分。
該網絡包含成千上萬個受感染的 GitLab 實例,且正被用於發起大規模的 DDoS 攻擊。遺憾的是,儘管 GitLab 已於 2021 年 4 月完成了修補,仍有大約 30000 個 GitLab 服務器尚未打上補丁。