腾讯云容器安全服务（TCSS）捕获利用GitLab ExifTool RCE漏洞在野攻击案例

腾讯云容器安全服务（TCSS）捕获GitLab ExifTool RCE漏洞（CVE-2021-22205）在公有云的在野攻击案例，漏洞利用导致业务容器内被植入后门程序。攻击者利用漏洞攻击后，企业业务容器会被植入门罗币挖矿程序、后门程序、或其他木马。 漏洞编号：CVE-2021-22205 漏洞等级：

严重，初始CVSS评分：9.9。

之后在 2021 年 9 月 21 日，GitLab官方将 CVSS评分修改为最高的 10.0。

漏洞影响版本：

11.9.0 <= Gitlab CE/EE < 13.8.8

13.9.0 <= Gitlab CE/EE < 13.9.6

13.10.0 <= Gitlab CE/EE < 13.10.3

漏洞在野利用事件描述： GitLab是美国GitLab公司的一款使用RubyonRails开发的、自托管的、Git（版本控制系统）项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等，可通过Web界面访问公开或私人项目。由于GitLab存在未授权的端点，导致该漏洞在无需进行身份验证的情况下即可进行利用。

腾讯安全网络空间测绘：

腾讯安全网络空间测绘结果显示，GitLab组件在全球应用分布较广，中国占比最高（31.19%）、其次是美国（16.80%）、德国（12.77%）。在中国大陆地区，浙江、北京、广东、上海四省市位居前列，占比超过83%。

腾讯安全10月28日、29日分别发布过漏洞风险通告及在野利用通告，后陆续发现黑产组织利用该漏洞大量攻击云主机（参考链接：https://mp.weixin.qq.com/s/WQtx1ujwfN-Vybl7DJgBuw） 腾讯云容器安全服务（TCSS）近期对开发人员常用的容器镜像进行安全检测，结果发现：存在GitLab ExifTool RCE漏洞的风险镜像228个，存在风险的镜像文件曾被广泛下载使用。安全检测数据表明，已有个别客户因使用存在该漏洞的风险镜像而发生入侵事件。 漏洞修复建议： 腾讯安全专家建议政企机构开发者及时升级Gitlab到最新版本，或使用已修复漏洞的最新Gitlab镜像，配置访问控制策略，避免受影响的Gitlab暴露在公网。

参考:https://about.gitlab.com/update/ 推荐从可靠可信的云服务厂商官方网站下载安全镜像： https://hub.docker.com/r/gitlab/gitlab-ce https://hub.docker.com/r/gitlab/gitlab-ee 建议使用腾讯容器安全服务（TCSS）对已使用的镜像进行安全扫描，存在风险的过期镜像文件建议弃用。在日常运维工作需要使用容器镜像前，使用文件查杀功能扫描容器内是否存在木马、病毒文件。

腾讯容器安全服务（TCSS）检测到存在Gitlab ExifTool RCE漏洞风险的镜像：

漏洞利用后，会导致这个镜像拉起的容器被入侵。目前观察到有个别客户因未及时修复漏洞，导致容器被挖矿、被植入后门程序。

容器安全服务-镜像安全-本地镜像控制台链接：https://console.cloud.tencent.com/tcss/security/image 容器安全服务-运行时安全-文件查杀控制台链接：https://console.cloud.tencent.com/tcss/runtime/tojanDetection

关于腾讯容器安全服务（TCSS） 腾讯容器安全服务（Tencent Container Security Service, TCSS）提供容器资产管理、镜像安全、运行时入侵检测等安全服务，保障容器从镜像生成、存储到运行时的全生命周期，帮助企业构建容器安全防护体系。

更多信息，可参考腾讯云官方网站介绍： https://cloud.tencent.com/product/tcss

  往期精选推荐  

• 北上深3城 | 腾讯云3天搞定企业容器化改造实战营精彩回顾
• 用户案例 | 腾讯小视频&转码平台云原生容器化之路
• 腾讯云TKE-基于 Cilium 统一混合云容器网络（下）
• 案例 | 腾讯广告 AMS 的容器化之路
• Istio最佳实践系列：如何实现方法级调用跟踪？

点个“在看”每天学习最新技术