长按二维码关注
腾讯安全威胁情报中心
腾讯安全攻防团队A&D Team
腾讯安全 企业安全运营团队
腾讯安全发布Gitlab exiftool远程命令执行漏洞(CVE-2021-22205)变种利用风险通告,漏洞变种利用POC已在互联网上公开。新的漏洞变种利用方式可绕过主流安全软件的检测防御,但漏洞补丁依然有效,腾讯安全专家建议所有用户尽快将Gitlab 升级到最新版本。
1
漏洞描述
2021年4月,GitLab官方发布安全更新,修复了一个远程代码执行漏洞,漏洞等级为“严重”。
GitLab未正确验证传递到文件解析器的图像文件,该文件可导致远程代码执行。由于 Gitlab 某些端点路径无需授权,攻击者可在无需认证的情况下利用图片上传功能执行任意代码。
至2021年10月下旬,互联网上出现详细的在野利用代码,因漏洞风险极高,该漏洞引起业界广泛关注。
近日,腾讯安全WeDetect分析引擎检测到黑客利用新的漏洞变种攻击手法发起真实在野攻击。攻击者采用随机路径、无需X-CSRF-Token 的漏洞变种攻击手段,可绕过多个安全软件的检测防御。腾讯安全注意到,新的变种漏洞攻击POC已在外网出现。
腾讯WeDetect检测分析引擎,是腾讯安全基于云原生的自动化攻击事件检测、关联、响应引擎。结合入侵事件中产生的多维度数据,自动化完成对攻击事件的关联、分析和实锤验证;减少无效告警、发现有效安全事件;响应并阻止利用已知/未知漏洞的攻击。
官方补丁依然可以有效抵御漏洞变种攻击,腾讯安全专家建议所有Gitlab用户,尽快升级到最新版本。
GitLab 是由 GitLab Inc.开发,一款基于Git的完全集成的软件开发平台。
2
漏洞编号
CVE-2021-22205
3
漏洞等级
高危,CVSS评分9.9。2021 年 9 月 21 日,GitLab官方将 CVSS评分修改为最高的 10.0。
漏洞状态:
漏洞细节 |
漏洞PoC |
漏洞EXP |
在野利用 |
已公开 |
已公开 |
已公开 |
存在 |
4
受影响的版本
11.9 <= GitLab(CE/EE)< 13.8.8
13.9 <= GitLab(CE/EE)< 13.9.6
13.10 <= GitLab(CE/EE)< 13.10.3
5
安全版本
GitLab(CE/EE) > 13.8.8
GitLab(CE/EE) > 13.9.6
GitLab(CE/EE) > 13.10.3
6
腾讯安全网络空间测绘
腾讯安全网络空间测绘结果显示,GitLab组件在全球应用分布较广,中国占比最高(31.19%)、其次是美国(16.80%)、德国(12.77%)。在中国大陆地区,浙江、北京、广东、上海四省市位居前列,占比超过83%。
7
漏洞修复建议
腾讯安全专家建议受影响的用户将GitLab升级到最新版本。
下载链接:https://about.gitlab.com/update/
8
腾讯安全解决方案
腾讯T-Sec漏洞扫描服务、腾讯T-Sec主机安全(云镜)、腾讯容器安全服务(TCSS)已支持检测企业资产(主机、容器及镜像)是否存在Gitlab ExifTool远程命令执行漏洞(CVE-2021-22205);
腾讯T-Sec高级威胁检测系统(NTA,御界)、腾讯T-Sec Web应用防火墙均已升级,支持检测、或拦截GitLab ExifTool远程代码执行漏洞的变种利用方法。
10
时间线
2021年4月14日,GitLab官方发布Gitlab exiftool远程命令执行漏洞(CVE-2021-22205)风险通告;
2021年4月15日,腾讯安全发布Gitlab exiftool远程命令执行漏洞(CVE-2021-22205)风险通告;
2021年10月28日,腾讯安全发布该漏洞在野利用风险通告;
2021年10月28日晚,腾讯安全检测到大量利用Gitlab exiftool远程命令执行漏洞(CVE-2021-22205)的攻击测试,影响云主机近千台;
2021年10月29日,腾讯安全检测到BillGates僵尸网络家族开始大量利用该漏洞攻击传播;
近日,腾讯安全WeDetect分析引擎检测到漏洞变种真实在野攻击,漏洞变种攻击可绕过多个主流安全软件的检测拦截,腾讯安全注意到该漏洞的变种利用POC已在外网公开。
参考链接:
https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报
