Máy chủ GitLab đang bị khai thác để tấn công DDoS hơn 1Tbps
Các hacker đang khai thác một lỗ hổng trong máy chủ của Gitlab để tập hợp các mạng botnet và khởi chạy một cuộc tấn công DDoS khổng lồ, với con số vượt quá 1 terabit mỗi giây.
Damian Menscher, kỹ sư bảo mật tại Google Cloud, đã tiết lộ về các cuộc tấn công DDoS này và thông báo thêm rằng các hacker đang khai thác lỗ hổng bảo mật CVE-2021-22205, một lỗ hổng Gitlab đã vá lại vào tháng 4 năm 2021.
Cuộc tấn công nhắm vào tính năng upload file của Gitlab
Lỗ hổng bảo mật được phát hiện bởi William Bowling và ảnh hưởng đến ExifTool - một thư viện được sử dụng để xóa metadata khỏi các hình ảnh được tải lên máy chủ.
Bowling còn cho biết anh đã phát hiện một cách để lạm dụng cách mà ExifTool xử lý việc tải lên các tệp file định dạng DjVu. Và các file định dạng này được sử dụng để giành quyền kiểm soát toàn bộ máy chủ Gitlab.
Theo công ty bảo mật HN Security của Ý, các cuộc tấn công khai thác lỗ hổng này bắt đầu vào tháng 6 năm nay, người lần đầu tiên báo cáo các dấu hiệu khai thác vào tuần trước.
Vào thời điểm đó, nhà nghiên cứu bảo mật Piergiovanni Cipolloni của HN cho biết ông đã bắt đầu một cuộc điều tra sau khi phát hiện những người dùng có tên ngẫu nhiên xâm nhập các máy chủ GitLab. Những người dùng rất có thể được tạo ra bởi các hacker để cho phép điều khiển từ xa các hệ thống Gitlab.
Khoảng 30.000 máy chủ GitLab vẫn chưa được vá
Theo một phân tích của Rapid7, Gitlab có hơn 60.000 máy chủ đang được kết nối internet, trong đó một nửa vẫn chưa được vá cho lỗ hổng CVE-2021-22205 mà ExifTool đang bị khai thác.
Các nhà nghiên cứu cũng lưu ý thêm rằng vấn đề cốt lõi của lỗ hổng ExifTool nằm ở Gitlab, được theo dõi dưới mã định danh CVE-2021-22204, có thể ảnh hưởng đến các ứng dụng web khác mà công cụ đang triển khai.
Cách đơn giản nhất để ngăn chặn các cuộc tấn công là chặn tải lên các tệp file định dạng DjVu ở cấp máy chủ, nếu các công ty không cần loại tệp này.