Агентство по кибербезопасности и безопасности инфраструктуры (CISA) внесло критическую уязвимость типа подделки межсерверных запросов (Server-Side Request Forgery, SSRF) в продуктах GitLab в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). Этот шаг официально подтверждает, что брешь, обозначенная как CVE-2021-39935, активно используется злоумышленниками в реальных атаках. Включение в каталог KEV служит важным сигналом для организаций по всему миру о необходимости срочных действий.
Детали уязвимости
Уязвимость затрагивает как Community, так и Enterprise редакции GitLab. Конкретно, проблема существует в API CI Lint, который используется для проверки конфигурационных файлов непрерывной интеграции. Ошибка позволяет неавторизованным внешним злоумышленникам выполнять несанкционированные запросы от имени сервера. Фактически, атакующие могут использовать уязвимый экземпляр GitLab в качестве прокси для доступа к внутренним системам, которые обычно защищены периметровыми средствами обороны. Например, это могут быть облачные сервисы метаданных, базы данных или другие ресурсы внутренней сети, недоступные извне.
Атаки типа SSRF особенно опасны, поскольку они обходят традиционные периметровые защиты. Угроза становится еще серьезнее, когда такая уязвимость присутствует в ключевом элементе инфраструктуры разработки, таком как GitLab. Злоумышленники, получив доступ, могут не только похищать конфиденциальные данные, но и продвигаться внутри сети, что потенциально ведет к полному компрометированию инфраструктуры. Кроме того, существует риск манипуляции конвейерами непрерывной интеграции и доставки (CI/CD), что открывает путь для атак на цепочку поставок.
Компания GitLab выпустила патчи, устраняющие CVE-2021-39935. Затронуты все версии, начиная с 10.5 и до 14.3.6, все версии, начиная с 14.4 и до 14.4.4, а также все версии, начиная с 14.5 и до 14.5.2. Администраторам настоятельно рекомендуется немедленно обновить свои экземпляры GitLab до последних исправленных версий: 14.3.6, 14.4.4 или 14.5.2 и выше. В случаях, когда немедленное обновление невозможно, CISA рекомендует рассмотреть возможность прекращения использования продукта до момента применения обновлений безопасности.
Для организаций, использующих облачные хостинговые сервисы GitLab, критически важно следовать рекомендациям BOD 22-01, касающимся безопасности облачных сервисов. Кроме применения патчей, командам безопасности следует предпринять дополнительные шаги. Необходимо провести аудит журналов доступа к API CI Lint на предмет подозрительной активности. К индикаторам компрометации могут относиться необычные запросы к этому конечному пункту, а также неожиданные внутренние сетевые подключения, исходящие от серверов GitLab.
Хотя CISA не подтвердила использование данной уязвимости в кампаниях с вредоносным ПО для шифрования данных, ее характеристики делают CVE-2021-39935 крайне привлекательной целью для различных угроз. Например, ее могут использовать так называемые "брокеры начального доступа" для проникновения в корпоративные сети с последующей продажей этого доступа другим группам. Кроме того, уязвимость представляет интерес для групп продвинутых постоянных угроз, которые стремятся получить долгосрочное и скрытное присутствие в атакуемой среде.
В заключение, активная эксплуатация CVE-2021-39935 в дикой природе является серьезным напоминанием об уязвимостях в инструментах разработки. Данный инцидент подчеркивает необходимость своевременного управления обновлениями и постоянного мониторинга ключевых систем. Организации должны расценивать это предупреждение как призыв к действию, чтобы предотвратить потенциально масштабные инциденты безопасности, связанные с компрометацией их DevOps-инфраструктуры.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2021-39935
- https://gitlab.com/gitlab-org/gitlab/-/issues/346187
- https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39935.json
