Хакеры активно эксплуатируют 10-балльную уязвимость в GitLab

Хакеры активно эксплуатируют 10-балльную уязвимость в GitLab

Хакеры активно эксплуатируют 10-балльную уязвимость в GitLab

Эксперты Rapid7 призывают пользователей как можно скорее обновить GitLab CE и EE: выявленная в этом софте критическая RCE-уязвимость с лета активно используется в атаках. Патч для нее был выпущен полгода назад, однако на половине подключенных к интернету систем управления Git-репозиториями его так и не установили.

Проблема CVE-2021-22205 веб-интерфейса GitLab возникла из-за неправильной валидации источника файлов изображений, передаваемых парсеру (встроенному ExifTool). Уязвимости подвержены все версии GitLab, начиная с 11.9; соответствующий патч был включен в обновления 13.8.8, 13.9.6 и 13.10.3, вышедшие в апреле.

Вначале баг, грозящий удаленным исполнением вредоносных команд на сервере, получил оценку 9,9 балла по шкале CVSS. Впоследствии выяснилось, что аутентификация для его использования необязательна, и степень опасности была повышена до 10 баллов.

По данным Rapid7, в паблик уже выложено множество рабочих эксплойтов для новой RCE, и злоумышленники активно пытаются применять их с июня или июля. Авторам одной из таких атак удалось через загрузку вредоносного файла зарегистрировать на сервере GitLab CE два аккаунта пользователя с правами админа.

Поиск доступных из интернета экземпляров GitLab показал, что таких установок в настоящее время около 60 тысяч. Из них полностью пропатчен лишь 21%, а половина уязвима к эксплойту CVE-2021-22205. Оценить состояние остальных установок в Rapid7 не смогли.

Специалисты предупреждают: поскольку эксплойт не требует аутентификации, число атак на опасную дыру будет только расти. и Пользователям следует без промедления обновить GitLab, лучше до последней версии (только что вышли сборки 14.4.1, 14.3.4 и 14.2.6).  В идеале этот сервис должен быть отключен от интернета; когда такой доступ нужен, рекомендуется использовать VPN.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Firefox для Android получил защиту DNS-over-HTTPS

Специалисты Mozilla реализовали поддержку технологии «DNS поверх HTTPS» в Android-версии браузера. После установки Firefox 143 опцию можно включить через настройки, выбрав режим повышенной защиты.

В настоящее время быстродействие новой функции безопасности мобильного браузера тестируют партнеры вендора — провайдеры DoH из США (Cloudflare, Comcast) и Канады. По итогам будет принято решение по вопросу дефолтной активации в ряде регионов.

До сих пор DoH-зашита была доступна только в десктопных Firefox. Поскольку ее применение может затормозить загрузку страниц в браузере, участники проекта уделяют много внимания производительности и уже повысили ее на 61%.

 

 

Преобразование адресов по запросам теперь происходит столь же быстро, как и без DNS-шифрования. Разница, по словам Mozilla, составляет всего пару миллисекунд.

Возможность повышения приватности за счет использования DoH предоставлена также пользователям Google Chrome, в том числе его версии для Android, — но лишь как опция, которая по умолчанию отключена.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru