Хакеры активно эксплуатируют 10-балльную уязвимость в GitLab

Хакеры активно эксплуатируют 10-балльную уязвимость в GitLab

Хакеры активно эксплуатируют 10-балльную уязвимость в GitLab

Эксперты Rapid7 призывают пользователей как можно скорее обновить GitLab CE и EE: выявленная в этом софте критическая RCE-уязвимость с лета активно используется в атаках. Патч для нее был выпущен полгода назад, однако на половине подключенных к интернету систем управления Git-репозиториями его так и не установили.

Проблема CVE-2021-22205 веб-интерфейса GitLab возникла из-за неправильной валидации источника файлов изображений, передаваемых парсеру (встроенному ExifTool). Уязвимости подвержены все версии GitLab, начиная с 11.9; соответствующий патч был включен в обновления 13.8.8, 13.9.6 и 13.10.3, вышедшие в апреле.

Вначале баг, грозящий удаленным исполнением вредоносных команд на сервере, получил оценку 9,9 балла по шкале CVSS. Впоследствии выяснилось, что аутентификация для его использования необязательна, и степень опасности была повышена до 10 баллов.

По данным Rapid7, в паблик уже выложено множество рабочих эксплойтов для новой RCE, и злоумышленники активно пытаются применять их с июня или июля. Авторам одной из таких атак удалось через загрузку вредоносного файла зарегистрировать на сервере GitLab CE два аккаунта пользователя с правами админа.

Поиск доступных из интернета экземпляров GitLab показал, что таких установок в настоящее время около 60 тысяч. Из них полностью пропатчен лишь 21%, а половина уязвима к эксплойту CVE-2021-22205. Оценить состояние остальных установок в Rapid7 не смогли.

Специалисты предупреждают: поскольку эксплойт не требует аутентификации, число атак на опасную дыру будет только расти. и Пользователям следует без промедления обновить GitLab, лучше до последней версии (только что вышли сборки 14.4.1, 14.3.4 и 14.2.6).  В идеале этот сервис должен быть отключен от интернета; когда такой доступ нужен, рекомендуется использовать VPN.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

54% атак на облака связаны с компрометацией учётных записей

За первые шесть месяцев 2025 года специалисты Yandex B2B Tech зафиксировали более 25 тысяч попыток атак на облачные и гибридные инфраструктуры. При этом злоумышленники всё чаще используют не сложные уязвимости, а легитимные учётные данные. В 54% случаев атака начиналась с подбора паролей или использования уже украденных логинов.

Чаще всего под удар попадали компании-разработчики ПО и SaaS-сервисы (35%). Это связано с возможностью атаковать их клиентов через цепочку поставок.

На втором месте — электронная коммерция и ретейл (22%), где в зоне риска персональные данные покупателей, включая данные лояльности и платежи. Далее — консалтинг, научные институты и финорганизации (по 15% каждая).

Эксперты отмечают, что главные угрозы в облаке связаны с компрометацией учётных записей, злоупотреблением легитимным доступом, ошибками в настройках или игнорированием встроенных функций безопасности.

«Мы видим рост атак, которые начинаются с компрометации корпоративных аккаунтов. Всё реже хакеры идут по пути сложного взлома и всё чаще используют украденные пароли или доступ через подрядчиков. Поэтому компаниям важно защищать учётные данные, внедрять многофакторную аутентификацию и мониторить активность пользователей», — пояснил Евгений Сидоров, директор по информационной безопасности в Yandex Cloud.

Аналитики также отмечают изменение мотивации киберпреступников. Если раньше атаки чаще были направлены на нанесение репутационного ущерба или разрушение инфраструктуры, то в первой половине 2025 года уже 61% случаев связаны с вымогательством: шифрованием данных с последующим требованием выкупа или их перепродажей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru