GitLab、1Tbps超のDDoS攻撃に利用されていたことが発覚

news

GitLabサーバの脆弱性を悪用し、ボットネットを構築、1テラビット/秒(Tbps)を超える分散型サービス拒否(DDoS)攻撃を行っていることが明らかになりました。

このDDoS攻撃は、GitLab社が2021年4月にパッチを当てた脆弱性「CVE-2021-22205」を利用したもので、Google CloudのDDoS防御を担当するSecurity Reliability EngineerのDamian Menscher氏が公表しました。

NVD - CVE-2021-22205

GitLab CE/EE11.9 以降のすべてのバージョンに影響する問題が発見されました。GitLab はファイルパーサーに渡されたイメージファイルを適切に検証しておらず、リモートでコマンドが実行されてしまいます。

GitLabのメタデータ削除機能を狙った攻撃

GitLabのバグバウンティプログラムを通じて報告されたこの脆弱性は、ウェブサーバーにアップロードされた画像からメタデータを削除するために使用されるライブラリ「ExifTool」に存在します。

GitLabは、GitLab Community Edition (CE)とEnterprise Edition (EE)の中でExifToolを使用しており、GitLab Community Edition (CE)とEnterprise Edition (EE)は企業が独自のサーバーにインストールできるオープンソースの商用版であり、GitLabのクラウドベースのサービスを利用できず、セキュアな環境でプロプライエタリなコードを扱いたい場合に使用されます。

スキャンした文書に使用されるDjVuファイルフォーマットのアップロードをExifToolで処理する方法を悪用して、GitLabウェブサーバーの基盤全体を制御する方法を発見したと述べています。

GitLab disclosed on HackerOne: RCE when removing metadata with...
### Summary When uploading image files, GitLab Workhorse passes any files with the extensions ( through to ( to remove any non-whitelisted tags. An issue with t...

イタリアのセキュリティ企業であるHN Security社によると、この脆弱性を悪用した攻撃は今年の6月から開始されているとのことです。

感染したGitLabサーバーにランダムな名前のユーザーが追加されているのを発見し、調査を開始したとのことです。このランダムの名前を持つユーザーアカウントは、ハッキングされたシステムを遠隔操作するために攻撃者が作成した可能性が高いとのことです。

GoogleのMenscher氏は、ハッキングされたサーバーは、大規模なDDoS攻撃を行っている「侵害された何千ものGitLabインスタンス」からなるボットネットの一部であると述べました。

約3万台のGitLabサーバーにパッチが適用されていない

ボットネットの運営者は世界中の企業がソフトウェアのパッチ適用を遅らせていることを利用しているようで、Rapid7社が発表した分析結果によると、インターネットに接続されているGitLabサーバーは6万台以上あり、そのうちの約半数がエクスプロイト「CVE-2021-22205 ExifTool」のパッチがまだ適用されていないことがわかりました。

この脆弱性の概念実証コードは、HN社が最初の攻撃を発見したのと同時期の6月から公開されています。

GitHub - CsEnox/Gitlab-Exiftool-RCE: RCE Exploit for Gitlab < 13.10.3
RCE Exploit for Gitlab < 13.10.3. Contribute to CsEnox/Gitlab-Exiftool-RCE development by creating an account on GitHub.

なお、今回のGitLabの問題のコアとなっているExifToolの脆弱性は、CVE-2021-22204として独立して追跡されていますが、このツールが導入されている可能性のある他の種類のWebアプリケーションにも影響を与える可能性があるため、追加の悪用も報告されている可能性があり、他の種類のWebアプリケーションにもパッチが必要になる可能性があります。

攻撃を防ぐ最も簡単な方法は、企業がDjVuファイルを扱う必要がない場合、サーバーレベルでDjVuファイルのアップロードをブロックすることです。

Comments

タイトルとURLをコピーしました