GitLab 严重漏洞在野被广泛利用,企业需立即自查

微步在线
• 阅读 1043

GitLab 严重漏洞在野被广泛利用,企业需立即自查

1. 前言

近日,微步在线旗下微步情报局利用免费社区蜜罐 HFish 捕获到 GitLab 未授权远程命令执行漏洞(CVE-2021-22205)在野利用,攻击成功后攻击者会植入挖矿木马进行挖矿。该漏洞无需进行身份验证即可进利用,危害极大。 GitLab 是 GitLab Inc. 开发用于代码仓库管理系统的开源项目。由于 GitLab 广泛应用于多个企业,该漏洞影响范围较广。公众号后台回复“GL”获取相关IOC。

2. 事件详情

在2021年“双11”前夜, HFish 蜜罐与 OneEDR 联合行动,捕获并处置了一起真实利用 GitLab 未授权远程命令执行漏洞(CVE-2021-22205)在野漏洞进行挖矿的攻击。 根据部署在互联网的 GitLab 服务模拟蜜罐显示,该攻击发生在11月10日晚上21点,某国内IP经过简单扫描踩点后,发送可疑HTTP POST请求,经过分析确认该漏洞为利用ExifTool解析图片异常导致命令执行的CVE-2021-22205,并提取行为特征推送给 OneEDR 客户。 GitLab 严重漏洞在野被广泛利用,企业需立即自查 由于该漏洞利用简单,且利用代码已经公开,多个企业用户已经感知部分主机失陷,主机告警界面出现了多条告警信息,告警名称是木马进程 xmrig,研究人员根据文件的名称判定是与挖矿相关的木马。 GitLab 严重漏洞在野被广泛利用,企业需立即自查

3. 告警排查分析

点击日志详情,在2021/11/11 18:10 - 2021/11/11 18:20 时间内,发现有多个文件下载行为。 GitLab 严重漏洞在野被广泛利用,企业需立即自查 点击其中一个日志查看详情可以发现,该操作第一次发生是在 gitlab 相关的目录,初步怀疑是通过gitlab漏洞进来的。 GitLab 严重漏洞在野被广泛利用,企业需立即自查 登录服务器排查,查看gitlab 的相关日志,发现有同一可疑ip多次访问gitlab,post请求传输数据的时间与EDR产生告警时间几乎一致 #cat production.log | grep POST GitLab 严重漏洞在野被广泛利用,企业需立即自查 研究人员利用cve-2021-22205漏洞的exp去验证该gitlab是不是存在 gitlab rce (cve-2021-22205)的漏洞,经过验证发现确认,该gitlab存在RCE漏洞。 GitLab 严重漏洞在野被广泛利用,企业需立即自查 接着,把xmrig 木马拿到本地虚拟机进行分析,发现该木马是门罗币挖矿木马,它可以指定url进行挖矿、后台运行挖矿程序、以及指定钱包地址等方式进行挖矿活动 。 GitLab 严重漏洞在野被广泛利用,企业需立即自查

3.1 处置建议

1、自查 GitLab 是否在下面涉及到的版本,若是,请自行升级 GitLab 版本。 本次漏洞影响的 GitLab版本: (1)无序列表11.9 <= GitLab(CE/EE)< 13.8.8 (2)无序列表13.9 <= GitLab(CE/EE)< 13.9.6 (3)无序列表13.10 <= GitLab(CE/EE)< 13.10.3 GitLab 相关源 https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/ ; 2、GitLab密码使用高强度密码,切勿使用弱口令,防止黑客暴力破解。

4. 总结与思考

4.1 事件总结

本次事件是通过免费社区蜜罐HFish、OneEDR在收集终端的进程、网络、文件等系统行为发现的,通过OneEDR的智能关联功能,可了解到安全事件的上下文以及主机、账号、进程等信息,通过“进程链”快速掌握事件的影响范围以及事件的概括,从而精准溯源。 HFish是一款基于 Golang 开发的社区免费蜜罐,可提供多种网络服务和Web应用模拟。 OneEDR是一款专注于主机入侵检测的新型终端防护平台,通过利用威胁情报、行为分析、智能事件聚合、机器学习等技术手段,实现对主机入侵的精准发现,发现已知与未知的威胁。充分利用ATT&CK对攻击全链路进行多点布控,全面发现入侵行为的蛛丝马迹。

4.2 事件思考

1.随着近几年5G物联网的迅速发展,物联网设备数量呈几何增长,物联网设备已经成为主要的攻击目标。 2.随着物联网设备的不断增多,使用SSH 暴力破解攻击会也越来越多,这会让僵尸网络迅速增加自己的bot;与此同时,黑客租用的是国外匿名廉价的VPS,它不但成本低,而且溯源难度较高,所以,以后僵尸网络只会越来越多。 3.目前的IOT僵尸网络以 DDoS 和 挖矿的木马为主。 GitLab 严重漏洞在野被广泛利用,企业需立即自查 GitLab 严重漏洞在野被广泛利用,企业需立即自查 GitLab 严重漏洞在野被广泛利用,企业需立即自查 原文内容参考https://hfish.io/#/

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
警惕!GitLab 严重漏洞在野被广泛利用,企业需立即自查
1.前言近日,微步在线旗下微步情报局利用捕获到GitLab未授权远程命令执行漏洞(CVE202122205)在野利用,攻击成功后攻击者会植入挖矿木马进行挖矿。该漏洞无需进行身份验证即可进利用,危害极大。GitLab是GitLabInc.开发用于代码仓库管理系统的开源项目。GitLab广泛应用于多个企业,该漏洞影响范围较广。2.事件详情在2
待兔 待兔
5个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
Stella981 Stella981
3年前
Linux应急响应(三):挖矿病毒
0x00前言随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、WeblogicWLS组件漏洞、Jboss
Stella981 Stella981
3年前
Linux提权的几种常用方式
在渗透测试过程中,提升权限是非常关键的一步,攻击者往往可以通过利用内核漏洞/权限配置不当/root权限运行的服务等方式寻找突破点,来达到提升权限的目的。1、内核漏洞提权提起内核漏洞提权就不得不提到脏牛漏洞(DirtyCow),是存在时间最长且影响范围最广的漏洞之一。低权限用户可以利用该漏洞实现本地提权,同时可以通过该漏洞实现D
Stella981 Stella981
3年前
Hadoop Yarn REST API未授权漏洞利用挖矿分析
HadoopYarnRESTAPI未授权漏洞利用挖矿分析一、背景情况5月5日腾讯云安全曾针对攻击者利用HadoopYarn资源管理系统RESTAPI未授权漏洞对服务器进行攻击,攻击者可以在未授权的情况下远程执行代码的安全问题进行预警,在预警的前后我们曾多次捕获相关的攻击
Stella981 Stella981
3年前
APT攻击利器-Word漏洞CVE
一、概述近期,百度安全实验室反高级威胁团队截获多封利用MicrosoftOfficeWord漏洞进行攻击的恶意邮件。通过对邮件附件样本进一步分析发现,其利用的漏洞为澳洲国防部计算机应急响应中心提交的CVE20167193。该漏洞为RTF文件解析漏洞,成功利用该漏洞可以远程执行任意代码。我们拦截的样本双击打开后会在本地释放后门程序
Wesley13 Wesley13
3年前
ecshop 全系列版本网站漏洞 远程代码执行sql注入漏洞
ecshop漏洞于2018年9月12日被某安全组织披露爆出,该漏洞受影响范围较广,ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响,主要漏洞是利用远程代码执行sql注入语句漏洞,导致可以插入sql查询代码以及写入代码到网站服务器里,严重的可以直接获取服务器的管理员权限,甚至有些网站使用的是虚拟主机,可以直接获取网
Stella981 Stella981
3年前
FreeType 2.4.9之前版本多个远程漏洞(CVE
漏洞描述FreeType是一个流行的字体函数库。FreeType2.4.9之前版本在实现上存在多个堆缓冲区溢出漏洞、栈缓冲区溢出漏洞和拒绝服务漏洞,远程攻击者可利用这些漏洞执行任意代码或造成拒绝服务。解决方法以下是各Linux/Unix发行版系统针对此漏洞发布的安全公告,可以参考对应系统的安全公告修复该漏洞:Ubuntu\
微步在线
微步在线
Lv1
见到你的一瞬间,就像走了很远的路,终于到家了
文章
3
粉丝
0
获赞
0