近年来,随着开源技术的全面发展,各行各业开始选择拥抱开源,为产业发展升级带来了新的活力。
但不可否认的是,开源技术的安全性仍然是一个难以解决的问题,甚至开始影响开源生态的健康发展。开源技术作为一种开放的形式,更注重技术的应用,而忽视了技术本身是否安全,因此不积极修复漏洞。
据Rapid7根据发布的报告,半年多前披露的高风险漏洞仍有一半以上GitLab 服务器还没有修复。犯罪分子可以利用这个已知的漏洞进行网络攻击。
先简单介绍一下漏洞的基本情况。
20214月14日,安全研究人员发现了一个GitLab 服务器远程命令执行漏洞,编号CVE-2021-22205,CVSS v3评分为10.0。该漏洞在无需进行身份验证的情况下即可进行利用,社区版(CE)和企业版(EE)皆受影响。
4月15日,GitLab官方发布安全更新修复。GitLab命令执行漏洞(CVE-2021-22205),由于GitLab中的ExifTool攻击者可以上传特殊的恶意图片,在目标服务器上执行任何命令,访问存储库,甚至删除、修改和窃取源代码。
这个漏洞正在被利用
由于很多GitLab 服务器没有修复漏洞,给了犯罪分子一个机会。2021年6月,威胁组织开始利用这个漏洞,他们在GitLab 在服务器中创建新账户,并赋予管理员权限。攻击者不需要验证或使用 CSRF 令牌,甚至不需要有效的 HTTP 端点用漏洞。
为进一步确定漏洞的潜在影响范围,国际知名网络安全公司Rapid7开始调查尚未修复的漏洞。GitLab 服务器数量。
调查结果令人惊讶。数据显示,截至2021年11月,已被调查6W个GitLab 50%以上的服务器没有针对性地修复漏洞;29%不确定是否有漏洞,因为这些服务器的版本字符串无法提取。
这意味着只有20%左右。GitLab 服务器决定修复漏洞。这只是这个漏洞的修复,那么其他高危漏洞呢?
在报告中,安全研究人员建议用户将GitLab社区版(CE)和企业版(EE)版本升级至13.10.3、13.9.6和13.8.8进行防护。
参考来源:
https://www.bleepingcomputer.com/news/security/over-30-000-gitlab-servers-still-unpatched-against-critical-bug/