Advierten investigadores de ciberseguridad que se han detectado una vulnerabilidad de ejecución de código remoto crítico (RCE) ahora parchada en la interfaz web de GitLab, que se explota activamente, lo que hace que una gran cantidad de instancias de GitLab conectadas a Internet sean susceptibles a ataques.
Rastreado como CVE-2021-22205 , el problema se relaciona con una validación incorrecta de las imágenes proporcionadas por el usuario que da como resultado la ejecución de código arbitrario. La vulnerabilidad, que afecta a todas las versiones a partir de la 11.9, fue abordada por GitLab el 14 de abril de 2021 en las versiones 13.8.8, 13.9.6 y 13.10.3.
En uno de los ataques del mundo real detallados por HN Security el mes pasado, se registraron dos cuentas de usuario con privilegios de administrador en un servidor GitLab de acceso público que pertenecía a un cliente sin nombre explotando la falla antes mencionada para cargar una «imagen» de carga útil maliciosa, lo que lleva a a la ejecución remota de comandos que otorgaron permisos elevados a las cuentas no autorizadas.
Aunque inicialmente se consideró que la falla era un caso de RCE autenticado y se le asignó un puntaje CVSS de 9.9, la calificación de gravedad se revisó a 10.0 el 21 de septiembre de 2021 debido al hecho de que también puede ser desencadenada por actores de amenazas no autenticados.
«A pesar del pequeño movimiento en la puntuación CVSS, un cambio de autenticado tiene grandes implicaciones no autenticados para los defensores,» la firma de seguridad cibernética Rapid7 dijo en una alerta publicada el lunes.
A pesar de la disponibilidad pública de los parches durante más de seis meses, de las 60.000 instalaciones de GitLab orientadas a Internet, se dice que solo el 21% de las instancias están completamente parcheadas contra el problema, y otro 50% sigue siendo vulnerable a los ataques RCE.
A la luz de la naturaleza no autenticada de esta vulnerabilidad, se espera que la actividad de explotación aumente, por lo que es fundamental que los usuarios de GitLab actualicen a la última versión lo antes posible. «Además, idealmente, GitLab no debería ser un servicio orientado a Internet», dijeron los investigadores. «Si necesita acceder a su GitLab desde Internet, considere colocarlo detrás de una VPN».
