Хакеры Активно Эксплуатируют Уязвимость Gitlab Rce

Исследователи кибербезопасности предупреждают, что исправленная уязвимость удаленного выполнения кода (RCE) в веб-интерфейсе GitLab по-прежнему активно используется злоумышленниками, подвергая риску большое количество экземпляров сервиса.

Эта дыра, в которую поступил код CVE-2021-22205 , относится к неправильной проверке предоставленных пользователем изображений, что позволяет выполнить произвольный код, содержащийся в них.

Затрагиваются версии GitLab Enterprise Edition (EE) и GitLab Community Edition (CE), начиная с 11.9. Патч выпущенный 14 апреля 2021 г.

для версий 13.8.8, 13.9.6 и 13.10.3. В одной из настоящих атак описал В прошлом месяце HN Security было зарегистрировано две учетные записи с правами администратора на общедоступном сервере GitLab, принадлежащем неназванному клиенту.

Их привилегии были повышены за счет удаленного выполнения команд полезной нагрузки, содержащихся в зараженных изображениях, загруженных через эту дыру.

Хотя изначально считалось, что уязвимость влияет только на удаленное выполнение кода с проверкой подлинности и она получила оценку CVSS 9,9, 21 сентября 2021 года ей был повышен рейтинг CVSS до 10,0. Причина в том, что этой лазейкой могут воспользоваться и неаутентифицированные злоумышленники.

«Изменение в рейтинге CVSS, конечно, было незначительным, но тот факт, что уязвимость может быть использована неаутентифицированными лицами, имеет большое значение для защитников», — сказал в интервью специалист по кибербезопасности из Rapid7. предупреждение , опубликовано в понедельник.

Из-за возможности неаутентифицированной эксплуатации уязвимости ожидается дальнейший рост активности злоумышленников, что указывает на то, что пользователям GitLab желательно как можно скорее обновиться до последней версии.

«Кроме того, в идеале сервис GitLab не должен быть доступен в Интернете», — рекомендуют исследователи.

«Если вам нужен доступ к вашей копии через Интернет, подумайте о том, чтобы оградить ее с помощью VPN».

Теги: #ruvds_news #информационная безопасность #git #github #уязвимость

• Беспроводной Приемник: Лучшие Зимние Предложения

  19 Oct, 24

• «Яндекс» Совместно С «Первым Каналом» Запустил Прямые Трансляции Шоу «Голос» В Результатах Поиска

  19 Oct, 24

• Создание Звука: Как Делаются Рингтоны Для Lumia

  19 Oct, 24

• Scribblebot

  19 Oct, 24

• Мастера Маскировки: Охотничьи Буткиты

  19 Oct, 24

• Разработка Для Ос Sailfish: Работа С Bluetooth

  19 Oct, 24

• Профессия Data Scientist: Как Не Ошибиться С Выбором

  19 Oct, 24

• 10 Самых Успешных Приобретений В Интернет-Сфере

  19 Oct, 24

• Любишь Ли Ты Их Настолько, Чтобы Увидеть, Что У Них Внутри?

  19 Oct, 24

• Как Упростить Верификацию Держателя Банковской Карты При Совершении Онлайн-Платежей?

  19 Oct, 24