Lỗ hổng thực thi mã từ xa trong GitLab bị tin tặc khai thác

Mới đây, lỗ hổng thực thi mã từ xa định danh CVE-2021-22205 có mức độ nghiêm trọng được vá trong giao diện web của GitLab đã ghi nhận bị tin tặc khai thác trong thực tế.

Cụ thể, lỗ hổng bảo mật CVE-2021-22205 bắt nguồn từ việc kiểm soát không chặt chẽ tệp hình ảnh do người dùng cung cấp dẫn đến việc thực thi mã tùy ý. Lỗ hổng ảnh hưởng đến tất cả các phiên bản từ 11.9 đã được GitLab giải quyết vào ngày 14/4/2021 trong các phiên bản 13.8.8, 13.9.6 và 13.10.3.

Theo đó, HN Security đã phát hiện các cuộc tấn công thực tế sử dụng lỗ hổng này. Bằng việc khai thác lỗ hổng này, tin tặc tải lên mã độc dẫn đến việc thực thi mã từ xa và nâng cao đặc quyền, từ đó tạo hai tài khoản với quyền quản trị.

Lỗ hổng có điểm CVSS 9.9 do yêu cầu xác thực để khai thác. Tuy nhiên, sau khi phân tích, CVE-2021-22205 cũng có thể bị kích hoạt mà không cần xác thực, do đó, điểm CVSS nâng lên là 10 vào ngày 21/9. Nhà nghiên cứu từ Rapid7 cho biết, chỉ một thay đổi nhỏ trong điểm CVSS, nhưng có tác động rất lớn đến hành động của các quản trị viên hệ thống.

Theo thống kê, trong số 60.000 lượt cài đặt GitLab trên internet, chỉ có 21% đã triển khai bản vá đầy đủ và có tới 50% dễ bị tấn công RCE.

Do việc khai thác dễ dàng và không cần xác thực, số lượng các cuộc tấn công nhắm vào người dùng GitLab chắc chắn sẽ tăng đột biến. Để đảm bảo an toàn, người dùng nên cập nhật phiên bản GitLab mới nhất. Đồng thời, không nên kết nối GitLab trực tiếp với internet. Nếu cần phải truy cập từ internet, hãy thiết lập kết nối VPN cho GitLab.