Хакеры активно эксплуатируют 10-балльную уязвимость в GitLab

Хакеры активно эксплуатируют 10-балльную уязвимость в GitLab

Эксперты Rapid7 призывают пользователей как можно скорее обновить GitLab CE и EE: выявленная в этом софте критическая RCE-уязвимость с лета активно используется в атаках. Патч для нее был выпущен полгода назад, однако на половине подключенных к интернету систем управления Git-репозиториями его так и не установили.

Проблема CVE-2021-22205 веб-интерфейса GitLab возникла из-за неправильной валидации источника файлов изображений, передаваемых парсеру (встроенному ExifTool). Уязвимости подвержены все версии GitLab, начиная с 11.9; соответствующий патч был включен в обновления 13.8.8, 13.9.6 и 13.10.3, вышедшие в апреле.

Вначале баг, грозящий удаленным исполнением вредоносных команд на сервере, получил оценку 9,9 балла по шкале CVSS. Впоследствии выяснилось, что аутентификация для его использования необязательна, и степень опасности была повышена до 10 баллов.

По данным Rapid7, в паблик уже выложено множество рабочих эксплойтов для новой RCE, и злоумышленники активно пытаются применять их с июня или июля. Авторам одной из таких атак удалось через загрузку вредоносного файла зарегистрировать на сервере GitLab CE два аккаунта пользователя с правами админа.

Поиск доступных из интернета экземпляров GitLab показал, что таких установок в настоящее время около 60 тысяч. Из них полностью пропатчен лишь 21%, а половина уязвима к эксплойту CVE-2021-22205. Оценить состояние остальных установок в Rapid7 не смогли.

Специалисты предупреждают: поскольку эксплойт не требует аутентификации, число атак на опасную дыру будет только расти. и Пользователям следует без промедления обновить GitLab, лучше до последней версии (только что вышли сборки 14.4.1, 14.3.4 и 14.2.6).  В идеале этот сервис должен быть отключен от интернета; когда такой доступ нужен, рекомендуется использовать VPN.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Xerox втихую закрыла уязвимость, превращающую принтер в бесполезный кирпич

Грозящая DoS уязвимость в принтерах Xerox была обнаружена полтора года назад. В ответ на уведомление вендор подтвердил наличие проблемы, однако о выпуске патча автор находки узнал лишь вчера — из бюллетеня от 27 января, опубликованного на сайте компании.

Уязвимость CVE-2022-23968, которую в Xerox оценили как критическую, позволяет вызвать постоянный отказ в обслуживании с помощью специально созданного TIFF-файла, отосланного в запросе HTTP POST. Эксплойт можно осуществить по сети или через интернет, особых разрешений для этого не требуется.

Проблему обнаружил исследователь из NeoSmart Technologies Махмуд аль-Кудси (Mahmoud Al-Qudsi). Как оказалось, веб-интерфейс Xerox поддерживает формат TIFF, однако при парсинге таких изображений принтер может выдать ошибку и прочно зависнуть.

В ходе эксперимента аль-Кудси удалось вызвать DoS при попытке вывода на печать многостраничного TIFF-документа с неполным каталогом изображений. Система сразу же вывела сообщение об ошибке и запросила холодную перезагрузку, однако перезапуск не помог — принтер попытался возобновить выполнение задания печати и столкнулся с той же проблемой.

Цикл оказался бесконечным, отключение принтера от сети положение не спасало; интерфейс очереди печати тоже отказал. По словам автора находки, очистить очередь печати в этом случае можно лишь запуском процесса обновления прошивки; проблему решит также очистка памяти устройства вручную, через физический доступ.

Уязвимости подвержены полтора десятка моделей семейства VersaLink и два принтера WorkCentre и Phaser с прошивками версий ниже xx.61.23 (вышла в июне 2020 года). Полный список затронутых продуктов приведен в бюллетене Xerox. В качестве временной меры защиты аль-Кудси советует запретить неавторизованный доступ к принтеру через настройки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru