整理 | 祝涛
出品 | CSDN(ID:CSDNnews)
11月4日,谷歌云安全可靠性工程师 Damian Menscher 在推特上指出,根据CVE-2021-22205 漏洞利用报告,有攻击者正在利用 GitLab 托管服务器上的安全漏洞来构建僵尸网络,并发起规模惊人的分布式拒绝服务攻击(DDoS)。其中一些攻击的峰值流量,甚至超过了1Tbps 。而这个被利用的漏洞,正是GitLab在2021年4月修补的漏洞。
据报道,该漏洞由 William Bowling 发现,并通过漏洞赏金计划提交给了GitLab官方。
此漏洞会对ExifTool造成影响,ExifTool是一个用于将图像上传到 Web 服务器、并剔除元数据的库。
GitLab在社区版(CE)和企业版(EE)上均使用了ExifTool,且公司能够将其服务的开源/商业版本安装在自己的服务器上。这样一来,企业能够专注于他们想要处理专有代码的场景安全环境,而无需使用基于云端的GitLab服务。然而在向HackerOne提交的一份报告中,Bowling称其发现了一种滥用ExifTool的方法,可被用于扫描DjVu格式的文档,进而控制整个底层GitLab网络服务器。
意大利安全公司HN Security上周首次报告了这一漏洞被利用的迹象,该公司指出,攻击可追溯到今年6月份。
安全研究员Piergiovanni Cipolloni表示,在发现有随机命名的用户被添加到受感染