企业动态

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    近日，奇安信CERT监测到GitLabCE/EE远程代码执行漏洞（CVE-2021-22205）细节、EXP公开，并发现存在在野利用。由于GitLab中的ExifTool没有正确验证用户上传的图像内容，攻击者可通过上传恶意图像文件，在图像元数据中插入恶意代码的方式利用该漏洞，成功利用此漏洞的攻击者可远程执行任意代码。

    经奇安信CERT验证，GitLabCE/EE远程代码执行漏洞（CVE-2021-22205）无需身份验证即可远程执行任意代码。由于已发现在野利用，漏洞利用的现实威胁上升。鉴于该漏洞危害较大，目前官方已有修复版本，奇安信CERT强烈建议客户及时自检服务器并尽快更新GitLab版本。

    当前漏洞状态

    漏洞描述

    GitLab是一个利用RubyonRails开发的开源应用程序，实现一个自托管的Git项目仓库，可通过Web界面进行访问公开的或者私人项目。

    近日，奇安信CERT监测到GitLabCE/EE远程代码执行漏洞（CVE-2021-22205）细节、EXP公开，并发现存在在野利用。当GitLab中的ExifTool处理图像文件时，会检查文件扩展名是否为jpg、jpeg、tiff，符合条件的文件会交由ExifTool进行处理。但ExifTool会尝试通过文件内容确定文件格式，当其解析DjVu文件注释时，tok将被转换为C转义序列。攻击者可以在DjVu文件中插入恶意perl代码，并将其扩展名改为jpg、jpeg或tiffd以绕过GitLab中的检查，从而在ExifTool中触发漏洞，最终在GitLabCE/EE服务器上远程执行代码。

    经奇安信CERT验证，GitLabCE/EE远程代码执行漏洞（CVE-2021-22205）无需身份验证即可远程执行任意代码。由于已发现在野利用，漏洞利用的现实威胁上升。鉴于该漏洞危害较大，目前官方已有修复版本，奇安信CERT强烈建议客户及时自检服务器并尽快更新GitLab版本。

    1、CVE-2021-22205GitLabCE/EE远程代码执行漏洞

    奇安信CERT已成功复现GitLabCE/EE远程代码执行漏洞（CVE-2021-22205），复现截图如下：

    风险等级

    奇安信CERT风险评级为：高危

    风险等级：蓝色（一般事件）

    影响范围

    11.9

    13.9

    13.10

    处置建议

    升级到安全版本

    目前GitLab官方已发布修复版本，用户可将GitLab升级到：GitLab13.8.8、GitLab13.9.6、GitLab13.10.3及以上版本。

    https://about.gitlab.com/update/

    产品解决方案

    奇安信网站应用安全云防护系统已更新防护特征库

    奇安信网神网站应用安全云防护系统已全面支持对GitLab远程代码执行漏洞(CVE-2021-22205)的防护。

    奇安信网神天堤防火墙产品防护方案

    奇安信新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至”2110282000”及以上版本并启用规则ID:4347801进行检测防御。

    奇安信网神统一服务器安全管理平台更新入侵防御规则库

    奇安信网神虚拟化安全轻代理版本将于10月29日发布入侵防御规则库2021.10.29版本，支持对GitLab远程代码执行漏洞（CVE-2021-22205）的防护，届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

    奇安信网神统一服务器安全管理平台将于10月29日发布入侵防御规则库10511版本，支持对GitLab远程代码执行漏洞（CVE-2021-22205）的防护，届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。

    奇安信网神网络数据传感器系统产品检测方案

    奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：7004，建议用户尽快升级检测规则库至2110281900以后版本并启用该检测规则。

    奇安信天眼产品解决方案

    奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.1028.13094及以上版本。规则名称：GitLab远程命令执行漏洞(CVE-2021-22205)，规则ID：0x10020DFF。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

    奇安信开源卫士已支持

    奇安信开源卫士20211028.861版本已支持对GitLab远程代码执行漏洞(CVE-2021-22205)的检测。

    参考资料

    [1]https://gitlab.com/gitlab-org/gitlab/-/issues/327121

    时间线

    2021年10月28日，奇安信CERT发布安全风险通告

    到奇安信NOX-安全监测平台查询更多漏洞详情

    奇安信CERT长期招募安全研究员