gitlab 被攻击了!求大佬进来分析一下

2021-08-13 15:41:47 +08:00
 raysonlu

收到一个安全监控警告:

高亮部分就是一串命令,用 gitlab-rails runner 执行了一个创建管理员的命令!

gitlab 版本是 CE 的 13.10.2

里面的项目,没有用过 hook,也没有用流水线,因为团队的都不会用。

目前对于这个安全事故排查毫无头绪,完全不知道怎样注入,怎样执行的,有无大佬指导一下(哭

7798 次点击
所在节点    GitLab
31 条回复
polaa
2021-08-13 17:27:51 +08:00
about gitlab com/releases
docs gitlab com/ce/update

加上 .

简单说一下 你这个版本收到各种 XSS 未授权访问操作 文件上传 信息泄露等漏洞影响

这些漏洞组合起来存在很多攻击方式



举例:
Stealing GitLab OAuth access tokens using XSLeaks in Safari
Unauthenticated CI lint API may lead to information disclosure and SSRF
Remote code execution when uploading specially crafted image files
raysonlu
2021-08-13 17:39:26 +08:00
@polaa 怪不得我看 gitlab 的访问日志中,超多类似“{domain}/项目组名 /项目名字.git/info/refs?service=git-upload-pack”的路径访问,而且 IP 都是境外!
另外想问一下,我现在的 13.10.2,我是应该升级到 13.12.9,还是 14 的最新版本呢?
zhighest
2021-08-13 18:55:48 +08:00
zhighest
2021-08-13 18:55:54 +08:00
zhighest
2021-08-13 18:56:24 +08:00
wangkun025
2021-08-13 19:00:27 +08:00
就创建了一个管理员级别的用户。然后估计可以为所欲为了。反正 git 的 repo 应该都被查看过了。
如果习惯好的话,只是代码泄露,应该还好。
locoz
2021-08-13 19:37:29 +08:00
暴露在公网的服务如果没有额外的保护措施就必须跟最新版本走,有任何安全更新必须立即更新,要不然就很容易被批量攻击拿下…
raysonlu
2021-08-13 23:53:52 +08:00
@zhighest 我简单解读一下,任意账号密码 get 请求一下{domain}/users/sign_in,获得一个 token,然后尝试拿 token 去尝试 post 请求这个地址正式登录,如果成功,就继续创建包含命令的图片,并尝试上传到{domain}/uploads/user 。如果是这样的话,我是否能在服务器里面的哪个地方找到上传的图呢?
raysonlu
2021-08-13 23:55:07 +08:00
@zhighest 另外,大佬贴的后面两张图是啥意思?大佬也遇到这个情况了?有个访问 IP 跟我这边的一模一样哦!~
zhighest
2021-08-14 23:36:48 +08:00
@raysonlu
昨天下午有台“蜜罐”被攻击,搜了下 payload,就找到了这个帖子。应该是批量攻击的,所以 IP 一样。
这个漏洞我没有仔细研究,也许能在服务器上找到图片,也许解析过程中就执行了命令,并没有将图片写到磁盘。有兴趣的话你可以研究下,这儿有篇漏洞复现的文章: https://www.cnblogs.com/ybit/p/14918949.html
最重要的是关闭注册功能,升级 Gitlab 。
loki13
2022-02-25 13:58:27 +08:00
gitlab 不同版本各种漏洞,技术支持力度不够的话,自建自管理风险真还挺高的。。。国内的话可以考虑下阿里腾讯的公有云服务,至少有人给兜底。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/795606

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX