大约30000台GitLab服务器仍未打上补丁：可被利用发起 DDoS

威胁分子正在利用GitLab自托管服务器中的一个安全漏洞以组建僵尸网络，并发动大规模的分布式拒绝服务（DDoS）攻击，其中一些攻击的速度更是超过了1 Tbps。

谷歌云负责谷歌DDoS防御工作的安全可靠性工程师Damian Menscher今天披露， DDoS攻击在钻CVE-2021-22205的空子，这是GitLab早在2021年4月就打上补丁的漏洞。

攻击针对GitLab的元数据删除功能

该漏洞由William Bowling发现，通过GitLab漏洞悬赏计划报告给了GitLab。该漏洞会影响ExifTool，这是用于从上传到Web服务器的图像中删除元数据的库。

就底层而言，GitLab在GitLab社区版（CE）和企业版（EE）中使用ExifTool，这是其服务的开源版和社区版，公司企业可以将它们安装在自己的服务器上，适用于这样的场景：它们想要在安全的环境中处理专有代码，但无法使用GitLab的基于云的服务。

Bowling在通过HackerOne网站提交的报告中表示，他发现了一种方法可滥用ExifTool如何处理用于扫描文档的DjVu文件格式的上传，从而对整台底层的GitLab Web服务器获得控制权。

据意大利安全公司HN Security声称，利用该漏洞的攻击从今年6月就开始了，该公司上周首次报告了漏洞被利用的迹象。

当时，HN的安全研究员Piergiovanni Cipolloni表示，该公司在发现随机命名的用户被添加到受感染的GitLab服务器后开始展开调查，这些用户很可能是由攻击者创建的，以便远程控制被黑的系统。

虽然HN Security尚不清楚这些攻击的意图，但昨天谷歌的Menscher表示，被黑的服务器是一个僵尸网络的一部分，该僵尸网络由“数千个受感染的GitLab实例”组成，正在发动大规模的DDoS攻击。

数千个被黑的GitLab实例（通过CVE-2021-22205被利用）组成的僵尸网络正在生成速度超过1 Tbps的DDoS攻击。请赶紧给您的服务器打上补丁！

大约30000台GitLab服务器仍未打上补丁

正如之前的许多其他案例所表明的那样，鉴于全球各地的公司在给软件（本例中的内部 GitLab服务器）打补丁方面很拖延，僵尸网络运营商似乎正大肆攻击。

据周一发布的Rapid7分析文章显示，超过60000台GitLab服务器连接到互联网，其中大约一半仍未针对CVE-2021-22205 ExifTool漏洞打上补丁。

这个漏洞的公共概念验证代码自6月以来就已公之于众，HN大概是在同一时间段发现首批攻击的。

值得注意的是，属于GitLab问题核心的ExifTool漏洞（CVE-2021-22204）也可能影响已部署该工具的其他类型的Web应用程序，因此可能也会传出其他系统被利用的报道，而其他类型的Web应用程序也可能需要打上补丁。

防止攻击的最简单方法是在服务器层面阻止DjVu文件的上传，如果公司不需要处理这种类型的文件的话。