Die gehackten GitLab-Server waren offenbar Teil eines Botnets, das aus Tausenden kompromittierter GitLab-Instanzen besteht und DDoS-Angriffe ausführt. Die Abkürzung DDoS steht für Distributed Denial of Service. Gemeint ist, dass über einen solchen Angriff die Nichtverfügbarkeit eines Dienstes gezielt herbeigeführt wird.
Entdeckt wurden die Angriffe am Donnerstag von Damian Menscher, einem Security-Reliability-Engineer bei Google Cloud. Die betreffende Schwachstelle (CVE 2021-22205) hatte GitLab bereits im April gepatcht. Die Botnet-Operator:innen nutzen hier offenbar die Nachlässigkeit vieler Firmen, wenn es um nötige Patches für ihre Software geht.
Lücke wird seit Juni ausgenutzt
Die von den Angreifer:innen ausgenutzte Schwachstelle wurde damals von William Bowling entdeckt und via GitLabs Bug-Bounty-Programm gemeldet. Sie betrifft ExifTool, eine Library zur Entfernung von Metadaten aus Bildern, die auf Webserver hochgeladen werden.
Unternehmen, die ihren proprietären Code via GitLab in einer sicheren Umgebung verwalten wollen und dabei nicht auf GitLabs cloudbasierten Service zurückgreifen können, nutzen entweder die Open-Source-Community-Edition oder die kommerzielle Enterprise Edition von GitLab. Beide enthalten die Library.
In einem via Hacker-One veröffentlichten Report beschreibt Bowling eine Möglichkeit, die Verarbeitung eines Dateiformats namens DjVu, das für gescannte Dokumente verwendet wird, auszunutzen, um so die Kontrolle über den gesamten GitLab-Webserver zu erlangen. Ausgenutzt wird die Lücke offenbar seit Juni. Das berichtet das italienische Sicherheitsunternehmen HN Security. Erstmals von Anzeichen eines Exploits der Schwachstelle berichtet hatten die Sicherheitsforscher:innen der Firma in der letzten Oktoberwoche. Nachdem beobachtet wurde, wie willkürlich benannte Benutzer:innen zu kompromittierten GitLab-Servern hinzugefügt wurden, hatte das Unternehmen eine Untersuchung eingeleitet, das sagte ein Mitarbeiter der Firma laut The Record. Den italienischen Sicherheitsforscher:innen war das Ziel des Angriffs zu diesem Zeitpunkt noch unklar.
Etwa die Hälfte aller GitLab-Server bisher nicht gepatcht
Laut einer am Montag veröffentlichten Analyse von Rapid 7 gibt es mehr als 60.000 mit dem Internet verbundene GitLab-Server. Ungefähr die Hälfte davon ist offenbar weiterhin ohne Patch für die ExifTool-Schwachstelle. Proof-of-Concept-Code für die Schwachstelle ist bereits seit Juni verfügbar.
Botnetz-Angriffe dieser Größenordnung sind laut Menscher offenbar neu:
Schwachstelle möglicherweise auch in anderen Anwendungen
Bemerkenswert ist, dass die ExifTool-Schwachstelle neben GitLab auch andere Webanwendungen betreffen könnte, die das Tool verwenden. Die Schwachstelle wird unabhängig von der Lücke in GitLabs Software unter der CVE-Nummer CVE-2021-22204 getrackt.
Die einfachste Möglichkeit, Angriffe zu verhindern, die die Lücke ausnutzen, ist offenbar, den Upload von Dateien im DjVu-Format zu blockieren, wenn Unternehmen Dateien dieses Typs nicht verarbeiten müssen.