Se ha detectado que una vulnerabilidad de ejecución de código remoto crítico (RCE) ahora parcheada en la interfaz web de GitLab se explota activamente en la naturaleza, advierten los investigadores de ciberseguridad, lo que hace que una gran cantidad de instancias de GitLab conectadas a Internet sean susceptibles a ataques.
Rastreado como CVE-2021-22205 , el problema se relaciona con una validación incorrecta de las imágenes proporcionadas por el usuario que da como resultado la ejecución de código arbitrario. La vulnerabilidad, que afecta a todas las versiones a partir de la 11.9, fue abordada por GitLab el 14 de abril de 2021 en las versiones 13.8.8, 13.9.6 y 13.10.3.
En uno de los ataques del mundo real detallados por HN Security el mes pasado, se registraron dos cuentas de usuario con privilegios de administrador en un servidor GitLab de acceso público que pertenecía a un cliente no identificado mediante la explotación de la falla mencionada anteriormente para cargar una carga útil maliciosa que conduce a una ejecución remota. de comandos arbitrarios, incluida la obtención de permisos elevados.
Aunque inicialmente se consideró que la falla era un caso de RCE autenticado y se le asignó un puntaje CVSS de 9.9, la calificación de gravedad se revisó a 10.0 el 21 de septiembre de 2021 debido al hecho de que también puede ser desencadenada por actores de amenazas no autenticados.
«A pesar del pequeño movimiento en la puntuación CVSS, un cambio de autenticado tiene grandes implicaciones no autenticados para los defensores,» la firma de seguridad cibernética Rapid7 dijo en una alerta publicada el lunes.
A pesar de la disponibilidad pública de los parches durante más de seis meses, de las 60.000 instalaciones de GitLab orientadas a Internet, se dice que solo el 21% de las instancias están completamente parcheadas contra el problema, y otro 50% sigue siendo vulnerable a los ataques RCE.
A la luz de la naturaleza no autenticada de esta vulnerabilidad, se espera que la actividad de explotación aumente, por lo que es fundamental que los usuarios de GitLab actualicen a la última versión lo antes posible. «Además, idealmente, GitLab no debería ser un servicio orientado a Internet», dijeron los investigadores. «Si necesita acceder a su GitLab desde Internet, considere colocarlo detrás de una VPN».
Aquí se puede acceder a análisis técnicos adicionales relacionados con la vulnerabilidad .
Fuente: https://thehackernews.com