Cụ thể, lỗ hổng bảo mật CVE-2021-22205 bắt nguồn từ việc kiểm soát không chặt chẽ tệp hình ảnh do người dùng cung cấp dẫn đến việc thực thi mã tùy ý. Lỗ hổng ảnh hưởng đến tất cả các phiên bản từ 11.9 đã được GitLab giải quyết vào ngày 14/4/2021 trong các phiên bản 13.8.8, 13.9.6 và 13.10.3.
Theo đó, HN Security đã phát hiện các cuộc tấn công thực tế sử dụng lỗ hổng này. Bằng việc khai thác lỗ hổng này, tin tặc tải lên mã độc dẫn đến việc thực thi mã từ xa và nâng cao đặc quyền, từ đó tạo hai tài khoản với quyền quản trị.
Lỗ hổng có điểm CVSS 9.9 do yêu cầu xác thực để khai thác. Tuy nhiên, sau khi phân tích, CVE-2021-22205 cũng có thể bị kích hoạt mà không cần xác thực, do đó, điểm CVSS nâng lên là 10 vào ngày 21/9. Nhà nghiên cứu từ Rapid7 cho biết, chỉ một thay đổi nhỏ trong điểm CVSS, nhưng có tác động rất lớn đến hành động của các quản trị viên hệ thống.
Theo thống kê, trong số 60.000 lượt cài đặt GitLab trên internet, chỉ có 21% đã triển khai bản vá đầy đủ và có tới 50% dễ bị tấn công RCE.
Do việc khai thác dễ dàng và không cần xác thực, số lượng các cuộc tấn công nhắm vào người dùng GitLab chắc chắn sẽ tăng đột biến. Để đảm bảo an toàn, người dùng nên cập nhật phiên bản GitLab mới nhất. Đồng thời, không nên kết nối GitLab trực tiếp với internet. Nếu cần phải truy cập từ internet, hãy thiết lập kết nối VPN cho GitLab.
M.H
09:00 | 01/04/2021
08:00 | 13/06/2022
15:00 | 29/08/2022
14:00 | 14/12/2021
07:00 | 17/01/2024
12:00 | 03/03/2021
13:00 | 20/07/2022
13:00 | 13/12/2021
17:00 | 30/09/2022
09:00 | 05/06/2023
08:00 | 06/02/2024
07:00 | 04/11/2019
09:00 | 01/02/2025
Redis - Hệ thống lưu trữ dữ liệu NoSQL mã nguồn mở phổ biến vừa phát hiện tồn tại 2 lỗ hổng bảo mật đe dọa đến hàng triệu người dùng.
07:00 | 07/11/2024
Ngày 30/10, nền tảng LottieFiles đã phát đi cảnh báo về cuộc tấn công chuỗi cung ứng nhắm vào gói npm "lottie-player" của họ. Kẻ tấn công đã lén lút cài mã độc vào các phiên bản mới của gói này nhằm chiếm đoạt tiền điện tử từ ví của người dùng.
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
07:00 | 22/10/2024
Một chiến dịch phần mềm độc hại mới nhắm vào lĩnh vực bảo hiểm và tài chính đã được phát hiện bằng cách sử dụng các liên kết GitHub trong các email lừa đảo như một cách để vượt qua các biện pháp bảo mật và phát tán Remcos RAT. Chiến dịch cho thấy phương pháp này đang được các tác nhân đe dọa ưa chuộng.
Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.
10:00 | 06/02/2025