高危漏洞曝光半年之久,超一半的GitLab 服务器仍未修复
近年来,随着开源技术如火如荼地发展,各行各业纷纷开始选择拥抱开源,给产业发展升级带来了新的活力。
但不可否认的是,开源技术的安全性依旧是一个难以解决的难题,甚至已经开始影响开源生态的健康发展。作为一个开放的形态,开源技术更侧重技术的应用,而忽略了技术本身是否安全,因此对于漏洞修复并不积极。
据Rapid7发布的报告显示,半年多以前已经披露的一个高危漏洞,直到现在竟然还有一多半的GitLab 服务器仍然没有进行修复。犯罪分子完全可以利用这个已知的漏洞发起网络攻击。
这里先简单介绍一下该漏洞的基本情况。
2021年4月14日,安全研究人员发现一个GitLab 服务器远程命令执行漏洞,编号CVE-2021-22205,CVSS v3评分为10.0。该漏洞在无需进行身份验证的情况下即可进行利用,社区版(CE)和企业版(EE)皆受影响。
4月15日,GitLab官方发布安全更新修复了此GitLab命令执行漏洞(CVE-2021-22205),由于GitLab中的ExifTool没有对传入的图像文件的扩展名进行正确处理,攻击者通过上传特制的恶意图片,可以在目标服务器上执行任意命令,还可以访问存储库,甚至是删除、修改和窃取源代码。
该漏洞正在被利用
由于很多GitLab 服务器迟迟未修复漏洞,让不法分子有了可趁之机。2021年6月,威胁组织开始利用该漏洞,他们在GitLab 服务器中创建新账号,并赋予管理员权限。在这个过程中,攻击者不需要验证或使用 CSRF 令牌,甚至不需要一个有效的 HTTP 端点来使用漏洞。
为了进一步确定该漏洞的潜在影响范围,国际知名网络安全公司Rapid7开始调查尚未修复漏洞的GitLab 服务器数量。
调查结果令人大吃一惊。数据显示,截止到2021年11月,被调查的6W个GitLab 服务器中,50%以上没有针对性修复该漏洞;29%不确定是否存在漏洞,因为无法提取这些服务器的版本字符串。
这意味着只有20%左右的GitLab 服务器是确定修复了该漏洞。这还仅仅是这个漏洞的修复情况,那么其他的高危漏洞呢,又有多少修复了的?
在报告中,安全研究人员建议用户将GitLab社区版(CE)和企业版(EE)版本升级至13.10.3、13.9.6和13.8.8进行防护。