奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
近日,奇安信CERT监测到GitLab CE/EE远程代码执行漏洞(CVE-2021-22205)细节、EXP公开,并发现存在在野利用。由于GitLab 中的ExifTool没有正确验证用户上传的图像内容,攻击者可通过上传恶意图像文件,在图像元数据中插入恶意代码的方式利用该漏洞,成功利用此漏洞的攻击者可远程执行任意代码。
经奇安信CERT验证,GitLab CE/EE远程代码执行漏洞(CVE-2021-22205)无需身份验证即可远程执行任意代码。由于已发现在野利用,漏洞利用的现实威胁上升。鉴于该漏洞危害较大,目前官方已有修复版本,奇安信CERT强烈建议客户及时自检服务器并尽快更新GitLab版本。
细节是否公开 | PoC状态 | EXP状态 | 在野利用 |
是 | 已公开 | 已公开 | 已发现 |
GitLab是一个利用 Ruby on Rails 开发的开源应用程序,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。
近日,奇安信CERT监测到GitLab CE/EE远程代码执行漏洞(CVE-2021-22205)细节、EXP公开,并发现存在在野利用。当GitLab中的ExifTool处理图像文件时,会检查文件扩展名是否为jpg、jpeg、tiff,符合条件的文件会交由ExifTool进行处理。但ExifTool会尝试通过文件内容确定文件格式,当其解析DjVu文件注释时,tok将被转换为 C 转义序列。攻击者可以在DjVu文件中插入恶意perl代码,并将其扩展名改为jpg、jpeg或tiffd以绕过GitLab中的检查,从而在ExifTool中触发漏洞,最终在GitLab CE/EE服务器上远程执行代码。
经奇安信CERT验证,GitLab CE/EE远程代码执行漏洞(CVE-2021-22205)无需身份验证即可远程执行任意代码。由于已发现在野利用,漏洞利用的现实威胁上升。鉴于该漏洞危害较大,目前官方已有修复版本,奇安信CERT强烈建议客户及时自检服务器并尽快更新GitLab版本。
1、CVE-2021-22205 GitLab CE/EE远程代码执行漏洞
漏洞名称 | GitLab CE/EE远程代码执行漏洞 |
漏洞类型 | 远程代码执行 | 风险等级 | 高危 | 漏洞ID | CVE-2021-22205 |
公开状态 | 已公开 | 在野利用 | 已发现 |
漏洞描述 | 由于GitLab 的ExifTool中没有正确验证用户上传的图像内容,攻击者在无需身份验证的情况下可通过上传恶意图像文件,在图像元数据中插入恶意代码的方式利用该漏洞,最终成功利用此漏洞的攻击者可远程执行代码。 |
参考链接 |
https://gitlab.com/gitlab-org/gitlab/-/issues/327121 |
奇安信CERT已成功复现GitLab CE/EE远程代码执行漏洞(CVE-2021-22205),复现截图如下:
11.9 <= GitLab(CE/EE)< 13.8.8
13.9 <= GitLab(CE/EE)< 13.9.6
13.10 <= GitLab(CE/EE)< 13.10.3
升级到安全版本
目前GitLab官方已发布修复版本,用户可将GitLab升级到:GitLab 13.8.8、GitLab 13.9.6、GitLab 13.10.3 及以上版本。
https://about.gitlab.com/update/
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全面支持对GitLab 远程代码执行漏洞(CVE-2021-22205)的防护。
奇安信网神天堤防火墙产品防护方案
奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2110282000” 及以上版本并启用规则ID: 4347801进行检测防御。
奇安信网神统一服务器安全管理平台更新入侵防御规则库
奇安信网神虚拟化安全轻代理版本将于10月29日发布入侵防御规则库2021.10.29版本,支持对GitLab远程代码执行漏洞(CVE-2021-22205)的防护,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。
奇安信网神统一服务器安全管理平台将于10月29日发布入侵防御规则库10511版本,支持对GitLab远程代码执行漏洞(CVE-2021-22205)的防护,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7004,建议用户尽快升级检测规则库至 2110281900以后版本并启用该检测规则。
奇安信天眼产品解决方案
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.1028.13094及以上版本。规则名称:GitLab远程命令执行漏洞(CVE-2021-22205),规则ID:0x10020DFF。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信开源卫士已支持
奇安信开源卫士20211028. 861版本已支持对GitLab远程代码执行漏洞(CVE-2021-22205)的检测。
[1]https://gitlab.com/gitlab-org/gitlab/-/issues/3271212021年10月28日,奇安信 CERT发布安全风险通告
点击阅读原文到奇安信NOX-安全监测平台查询更多漏洞详情
奇安信CERT长期招募安全研究员
↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓
