Zeer kritiek GitLab-lek actief misbruikt: zeker 30.000 installaties kwetsbaar

[Captain Kirk]

Aanvallers maken op dit moment actief misbruik van een zeer kritieke kwetsbaarheid in GitLab waardoor zeker 30.000 installaties risico lopen, zo stelt securitybedrijf Rapid7. GitLab is een online DevOps-tool waarmee ontwikkelaars samen software kunnen ontwikkelen.

In april van dit jaar maakte GitLab een beveiligingsupdate beschikbaar voor een zeer kritieke kwetsbaarheid in de GitLab Community Edition (CE) en Enterprise Edition (EE), aangeduid als CVE-2021-22205. De applicatie bleek geüploade afbeeldingen niet goed te controleren. Door het uploaden van een speciaal geprepareerd DjVu-bestand kan een aanvaller willekeurige code als de git-gebruiker uitvoeren. Zo is het mogelijk om een shell op de server te krijgen.

In eerste instantie werd de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,9 beoordeeld. Op 21 september wijzigde GitLab dit naar een 10. De reden voor de aanpassing is dat het beveiligingslek ook door een ongeauthenticeerde aanvaller is te misbruiken, in plaats van alleen een geauthenticeerde aanvaller zoals eerst werd gedacht.

Er zijn verschillende exploits voor de kwetsbaarheid op internet verschenen. Hoewel er sinds april beveiligingsupdates beschikbaar zijn, hebben veel beheerders die nog niet geïnstalleerd. Rapid7 detecteerde 60.000 GitLab-installaties die vanaf het internet toegankelijk zijn. Daarvan zijn er 12.600 gepatcht gepatcht, maar draaien 30.000 installaties nog altijd een kwetsbare versie. Van 17.400 installaties kon de versie niet worden vastgesteld. Het aantal kwetsbare installaties ligt daardoor mogelijk boven de dertigduizend.

Naar verluidt zou er sinds juni of juli misbruik van het lek zijn gemaakt. Rapid7 verwacht dat misbruik zal toenemen zodra details bekend worden om ongeauthenticeerde aanvallen te kunnen uitvoeren. Beheerders worden dan ook opgeroepen om de update te installeren.

 

bron: https://www.security.nl