攻击者利用漏洞发动DDoS攻击，3万台GitLab服务器仍未修补

整理 | 祝涛
出品 | CSDN（ID：CSDNnews）

​11月4日，谷歌云安全可靠性工程师 Damian Menscher 在推特上指出，根据CVE-2021-22205 漏洞利用报告，有攻击者正在利用 GitLab 托管服务器上的安全漏洞来构建僵尸网络，并发起规模惊人的分布式拒绝服务攻击（DDoS）。其中一些攻击的峰值流量，甚至超过了1Tbps 。而这个被利用的漏洞，正是GitLab在2021年4月修补的漏洞。

据报道，该漏洞由 William Bowling 发现，并通过漏洞赏金计划提交给了GitLab官方。

此漏洞会对ExifTool造成影响，ExifTool是一个用于将图像上传到 Web 服务器、并剔除元数据的库。

GitLab在社区版（CE）和企业版（EE）上均使用了ExifTool，且公司能够将其服务的开源/商业版本安装在自己的服务器上。这样一来，企业能够专注于他们想要处理专有代码的场景安全环境，而无需使用基于云端的GitLab服务。然而在向HackerOne提交的一份报告中，Bowling称其发现了一种滥用ExifTool的方法，可被用于扫描DjVu格式的文档，进而控制整个底层GitLab网络服务器。

意大利安全公司HN Security上周首次报告了这一漏洞被利用的迹象，该公司指出，攻击可追溯到今年6月份。

安全研究员Piergiovanni Cipolloni表示，在发现有随机命名的用户被添加到受感染的GitLab服务器后，他们随即对此展开了调查。这些用户很可能是由攻击者一手创建，旨在对受害系统实施远程控制。

尽管HN安全部门目前还不清楚这些攻击的目的，但谷歌的工程师 Damian Menscher表示，被黑客攻击的服务器是某巨型僵尸网络的一部分，该僵尸网络由"数千个受感染的GitLab实例"组成，并且正在发动大规模的DDoS攻击。

GitLab已提供了超过六个月的补丁服务，然而遗憾的是，针对面向互联网的GitLab实例分析表明，大量实例仍然是脆弱的。Rapid7于周一发布的帖子显示，有超过60,000台GitLab服务器连接到互联网，尽管GitLab已于2021年4月完成了修补工作，但其中大约有30,000台GitLab服务器仍未修补CVE-2021-22205 ExifTool漏洞。

参考链接：

• https://therecord.media/gitlab-servers-are-being-exploited-in-ddos-attacks-in-excess-of-1-tbps/
• https://www.rapid7.com/blog/author/jake-baines/
• https://security.humanativaspa.it/gitlab-ce-cve-2021-22205-in-the-wild/