近年來，隨著開源技術(shù)如火如荼地發(fā)展，各行各業(yè)紛紛開始選擇擁抱開源，給產(chǎn)業(yè)發(fā)展升級(jí)帶來了新的活力。

但不可否認(rèn)的是，開源技術(shù)的安全性依舊是一個(gè)難以解決的難題，甚至已經(jīng)開始影響開源生態(tài)的健康發(fā)展。作為一個(gè)開放的形態(tài)，開源技術(shù)更側(cè)重技術(shù)的應(yīng)用，而忽略了技術(shù)本身是否安全，因此對于漏洞修復(fù)并不積極。

據(jù)Rapid7發(fā)布的報(bào)告顯示，半年多以前已經(jīng)披露的一個(gè)高危漏洞，直到現(xiàn)在竟然還有一多半的GitLab 服務(wù)器仍然沒有進(jìn)行修復(fù)。犯罪分子完全可以利用這個(gè)已知的漏洞發(fā)起網(wǎng)絡(luò)攻擊。

這里先簡單介紹一下該漏洞的基本情況。

2021年4月14日，安全研究人員發(fā)現(xiàn)一個(gè)GitLab 服務(wù)器遠(yuǎn)程命令執(zhí)行漏洞，編號(hào)CVE-2021-22205，CVSS v3評(píng)分為10.0。該漏洞在無需進(jìn)行身份驗(yàn)證的情況下即可進(jìn)行利用，社區(qū)版(CE)和企業(yè)版(EE)皆受影響。

4月15日，GitLab官方發(fā)布安全更新修復(fù)了此GitLab命令執(zhí)行漏洞(CVE-2021-22205)，由于GitLab中的ExifTool沒有對傳入的圖像文件的擴(kuò)展名進(jìn)行正確處理，攻擊者通過上傳特制的惡意圖片，可以在目標(biāo)服務(wù)器上執(zhí)行任意命令，還可以訪問存儲(chǔ)庫，甚至是刪除、修改和竊取源代碼。

該漏洞正在被利用

由于很多GitLab 服務(wù)器遲遲未修復(fù)漏洞，讓不法分子有了可趁之機(jī)。2021年6月，威脅組織開始利用該漏洞，他們在GitLab 服務(wù)器中創(chuàng)建新賬號(hào)，并賦予管理員權(quán)限。在這個(gè)過程中，攻擊者不需要驗(yàn)證或使用 CSRF 令牌，甚至不需要一個(gè)有效的 HTTP 端點(diǎn)來使用漏洞。

為了進(jìn)一步確定該漏洞的潛在影響范圍，國際知名網(wǎng)絡(luò)安全公司Rapid7開始調(diào)查尚未修復(fù)漏洞的GitLab 服務(wù)器數(shù)量。

調(diào)查結(jié)果令人大吃一驚。數(shù)據(jù)顯示，截止到2021年11月，被調(diào)查的6W個(gè)GitLab 服務(wù)器中，50%以上沒有針對性修復(fù)該漏洞;29%不確定是否存在漏洞，因?yàn)闊o法提取這些服務(wù)器的版本字符串。

這意味著只有20%左右的GitLab 服務(wù)器是確定修復(fù)了該漏洞。這還僅僅是這個(gè)漏洞的修復(fù)情況，那么其他的高危漏洞呢，又有多少修復(fù)了的?

在報(bào)告中，安全研究人員建議用戶將GitLab社區(qū)版(CE)和企業(yè)版(EE)版本升級(jí)至13.10.3、13.9.6和13.8.8進(jìn)行防護(hù)。

參考來源：

https://www.bleepingcomputer.com/news/security/over-30-000-gitlab-servers-still-unpatched-against-critical-bug/