GitLab 严重漏洞在野被广泛利用，企业需立即自查

1. 前言

近日，微步在线旗下微步情报局利用免费社区蜜罐 HFish 捕获到 GitLab
未授权远程命令执行漏洞（CVE-2021-22205）在野利用，攻击成功后攻击者会植入挖矿木马进行挖矿。该漏洞无需进行身份验证即可进利用，危害极大。

GitLab 是 GitLab Inc. 开发用于代码仓库管理系统的开源项目。GitLab 广泛应用于多个企业，该漏洞影响范围较广。

2. 事件详情

在2021年“双11”前夜， HFish 蜜罐与 OneEDR 联合行动，捕获并处置了一起真实利用 GitLab
未授权远程命令执行漏洞（CVE-2021-22205）在野漏洞进行挖矿的攻击。

根据部署在互联网的 GitLab 服务模拟蜜罐显示，该攻击发生在11月10日晚上21点，某国内IP经过简单扫描踩点后，发送可疑HTTP
POST请求，经过分析确认该漏洞为利用ExifTool解析图片异常导致命令执行的CVE-2021-22205，并提取行为特征推送给 OneEDR 客户。

由于该漏洞利用简单，且利用代码已经公开，多个企业用户已经感知部分主机失陷，主机告警界面出现了多条告警信息，告警名称是木马进程
xmrig，研究人员根据文件的名称判定是与挖矿相关的木马。

3. 告警排查分析

点击日志详情，在2021/11/11 18:10 - 2021/11/11 18:20 时间内，发现有多个文件下载行为。

点击其中一个日志查看详情可以发现，该操作第一次发生是在
GitLab 相关的目录，初步怀疑是通过 GitLab 漏洞进来的。

登录服务器排查，查看 GitLab 的相关日志，发现有同一可疑 IP 多次访问 GitLab，post 请求传输数据的时间与 OneEDR
产生告警时间几乎一致。

#cat production.log | grep POST

研究人员利用
CVE-2021-22205 漏洞的 exp 去验证该 GitLab 是不是存在 GitLab rce
(CVE-2021-22205)的漏洞，经过验证发现确认，该 GitLab 存在 RCE 漏洞。

接着，把
xmrig 木马拿到本地虚拟机进行分析，发现该木马是门罗币挖矿木马，它可以指定 url 进行挖矿、后台运行挖矿程序、以及指定钱包地址等方式进行挖矿活动 。

**3.1 处置建议 **
1、自查 GitLab 是否在下面涉及到的版本，若是，请自行升级 GitLab 版本。

本次漏洞影响的 GitLab版本：

11.9 <= GitLab（CE/EE）< 13.8.8
13.9 <= GitLab（CE/EE）< 13.9.6
13.10 <= GitLab（CE/EE）< 13.10.3
GitLab 相关源 https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/ ；

2、GitLab密码使用高强度密码，切勿使用弱口令，防止黑客暴力破解。

4. 总结与思考

4.1 事件总结
本次事件是通过免费社区蜜罐 HFish、OneEDR 在收集终端的进程、网络、文件等系统行为发现的，通过 OneEDR
的智能关联功能，可了解到安全事件的上下文以及主机、账号、进程等信息，通过“进程链”快速掌握事件的影响范围以及事件的概括，从而精准溯源。

HFish 是一款基于 Golang 开发的社区免费蜜罐，可提供多种网络服务和 Web 应用模拟。

OneEDR
是一款专注于主机入侵检测的新型终端防护平台，通过利用威胁情报、行为分析、智能事件聚合、机器学习等技术手段，实现对主机入侵的精准发现，发现已知与未知的威胁。充分利用
ATT&CK 对攻击全链路进行多点布控，全面发现入侵行为的蛛丝马迹。

4.2 事件思考
1.随着近几年5G物联网的迅速发展，物联网设备数量呈几何增长，物联网设备已经成为主要的攻击目标。

2.随着物联网设备的不断增多，使用SSH
暴力破解攻击会也越来越多,这会让僵尸网络迅速增加自己的bot；与此同时，黑客租用的是国外匿名廉价的虚拟专用服务器，它不但成本低，而且溯源难度较高，所以，以后僵尸网络只会越来越多。

3.目前的IOT僵尸网络以 DDoS 和 挖矿的木马为主。

原文内容参考反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台

安全传送门 >>

访问 https://hfish.io/#/ 即可开始一键部署，也可以扫描下方【HFish官方交流群】二维码进群与我们交流哦！

————————————————
版权声明：本文为CSDN博主「微步在线」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_56810455/article/details/121418995

请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_56810455/article/details/121418995

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览，小伙伴们记得点个收藏！

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-43eLEGpI-1690104455366)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一：基础入门

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TWBBE1tN-1690104455369)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二：技术进阶（到了这一步你才算入门）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Cy4Ouzcx-1690104455372)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yUrpjjfw-1690104455374)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四：蓝队课程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fFB7IXIi-1690104455377)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御，即更容易被大家理解的网络安全工程师。

攻防兼备，年薪收入可以达到40w+

阶段五：面试指南&阶段六：升级内容

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

同学们可以扫描下方二维码获取哦！