Хакеры активно эксплуатируют 10-балльную уязвимость в GitLab

Хакеры активно эксплуатируют 10-балльную уязвимость в GitLab

Хакеры активно эксплуатируют 10-балльную уязвимость в GitLab

Эксперты Rapid7 призывают пользователей как можно скорее обновить GitLab CE и EE: выявленная в этом софте критическая RCE-уязвимость с лета активно используется в атаках. Патч для нее был выпущен полгода назад, однако на половине подключенных к интернету систем управления Git-репозиториями его так и не установили.

Проблема CVE-2021-22205 веб-интерфейса GitLab возникла из-за неправильной валидации источника файлов изображений, передаваемых парсеру (встроенному ExifTool). Уязвимости подвержены все версии GitLab, начиная с 11.9; соответствующий патч был включен в обновления 13.8.8, 13.9.6 и 13.10.3, вышедшие в апреле.

Вначале баг, грозящий удаленным исполнением вредоносных команд на сервере, получил оценку 9,9 балла по шкале CVSS. Впоследствии выяснилось, что аутентификация для его использования необязательна, и степень опасности была повышена до 10 баллов.

По данным Rapid7, в паблик уже выложено множество рабочих эксплойтов для новой RCE, и злоумышленники активно пытаются применять их с июня или июля. Авторам одной из таких атак удалось через загрузку вредоносного файла зарегистрировать на сервере GitLab CE два аккаунта пользователя с правами админа.

Поиск доступных из интернета экземпляров GitLab показал, что таких установок в настоящее время около 60 тысяч. Из них полностью пропатчен лишь 21%, а половина уязвима к эксплойту CVE-2021-22205. Оценить состояние остальных установок в Rapid7 не смогли.

Специалисты предупреждают: поскольку эксплойт не требует аутентификации, число атак на опасную дыру будет только расти. и Пользователям следует без промедления обновить GitLab, лучше до последней версии (только что вышли сборки 14.4.1, 14.3.4 и 14.2.6).  В идеале этот сервис должен быть отключен от интернета; когда такой доступ нужен, рекомендуется использовать VPN.

Карты с бензином под подозрением: Минэнерго заявило о риске сбора данных

Минэнерго России призвало автомобилистов осторожнее относиться к сайтам и сервисам, которые показывают наличие топлива на заправках. В ведомстве считают, что такие площадки могут быть опасны из-за возможного незаконного сбора персональных данных.

По данным министерства, с конца июня 2026 года резко выросла активность интернет-ресурсов, где пользователям предлагают смотреть, на каких АЗС есть бензин или другое топливо. Информация на таких сервисах якобы добавляется самими автомобилистами.

Но в Минэнерго настроены скептически. Ведомство заявило, что анализ опубликованных данных указывает на их недостоверность. Кроме того, специалисты заметили манипуляции сведениями о наличии топлива на заправках.

Проще говоря, если сервис показывает, что где-то точно есть бензин, это еще не значит, что он там действительно есть. Зато риск оставить свои данные на сомнительной площадке вполне реальный.

Предупреждение появилось на фоне сообщений СМИ о быстром росте популярности подобных проектов. Один из них — сервис «ГдеБенз» — якобы собрал около 2 млн посетителей всего за три дня.

При этом сам сервис утверждает, что не требует регистрации, не просит скачивать приложения и не собирает пользовательские данные.

Тем не менее Минэнерго советует не доверять таким ресурсам безоговорочно. Ведомство указывает, что информация о наличии топлива может быть неточной, а сами площадки — использовать интерес автомобилистов для сбора данных или распространения недостоверных сведений.

На днях мы также сообщали о новом зловреде для Android, который маскируется под видом сервиса поиска топлива.

RSS: Новости на портале Anti-Malware.ru