인증이 필요하지 않은 GitLab의 RCE 취약점, 실제 공격에 악용돼

Alert! Hackers Exploiting GitLab Unauthenticated RCE Flaw in the Wild

 

연구원들이 지금은 패치된 GitLab 웹 인터페이스의 치명적인 원격 코드 실행(RCE) 취약점이 실제 공격에 활발히 악용되고 있다고 경고했습니다. 현재 인터넷에 노출된 GitLab 인스턴스 다수가 공격에 취약한 상태가 되었습니다.

 

CVE-2021-22205로 등록된 이 취약점은 사용자가 제공한 이미지의 유효성을 적절히 검증하지 않아 임의 코드 실행으로 이어지는 문제입니다. 이 취약점은 11.9부터 모든 버전에 영향을 미치며, 2021년 4월 14일 GitLab 버전 13.8.8, 13.9.6, 13.10.3에서 수정되었습니다.

 

지난 달 HN Security에서 자세히 설명한 실제 공격 중 하나에서, 앞서 언급된 취약점을 악용하여 관리자 권한을 가진 사용자 계정 두 개가 이름이 밝혀지지 않은 고객의 공개적으로 접근이 가능한 GitLab 서버에 등록되었습니다. 이는 권한 상승을 포함한 임의 명령 원격 실행으로 이어지는 악성 페이로드를 업로드 하기 위함입니다.

 

 

<이미지 출처 : https://security.humanativaspa.it/gitlab-ce-cve-2021-22205-in-the-wild/>

 

 

이 취약점은 처음에는 인증이 필요한 RCE로 간주되었으며 CVSS 점수 9.9를 받았습니다. 하지만 인증되지 않은 공격자가 트리거 가능하다는 사실이 발견되어 2021년 9월 21일 심각도 등급이 10.0으로 수정되었습니다.

 

사이버 보안 회사인 Rapid7은 지난 월요일 경고를 발표해 "CVSS 점수의 변화 폭은 작지만, 취약점이 인증에서 비인증으로 변화함에 따라 방어자에게는 큰 영향을 미칩니다.”라 밝혔습니다.

 

패치가 공개된지 6개월 이상이 지났음에도, 인터넷에 연결된 상태의 GitLab 60,000개 중 21%만이 해당 문제를 완전히 패치한 것으로 나타났으며, 나머지 50%는 여전히 원격 코드 실행 공격에 취약한 것으로 나타났습니다.

 

이 취약점을 악용하는데는 인증이 필요하지 않기 때문에, 더욱 더 많은 악용이 발생할 것으로 예상됩니다. 따라서 GitLab 사용자는 가능한 빨리 최신 버전으로 업데이트해야 합니다.

 

연구원들은 이에 대해 아래와 같이 설명했습니다.

 

"GitLab은 인터넷 접근이 가능하지 않도록 설정하는 것이 가장 이상적입니다.”

 

“인터넷을 통해 GitLab에 접근이 필요할 경우, VPN 뒷편에 배치하는 것이 좋습니다.”

 

해당 취약점의 추가적인 기술 분석은 여기에서 확인하실 수 있습니다.

 

 

 

 

출처:

https://thehackernews.com/2021/11/alert-hackers-exploiting-gitlab.html

https://www.rapid7.com/blog/post/2021/11/01/gitlab-unauthenticated-remote-code-execution-cve-2021-22205-exploited-in-the-wild/

https://attackerkb.com/topics/D41jRUXCiJ/cve-2021-22205/rapid7-analysis