























这是一个创建于 1766 天前的主题,其中的信息可能已经有所发展或是发生改变。
收到一个安全监控警告:

高亮部分就是一串命令,用 gitlab-rails runner 执行了一个创建管理员的命令!
gitlab 版本是 CE 的 13.10.2
里面的项目,没有用过 hook,也没有用流水线,因为团队的都不会用。
目前对于这个安全事故排查毫无头绪,完全不知道怎样注入,怎样执行的,有无大佬指导一下(哭
3 hly9469 2021 年 8 月 13 日 via iPhone你指着大佬一个个字母敲来复现?哈哈哈哈 |
5 Rwing 2021 年 8 月 13 日1.不要开放外网 |
7 jay4497 2021 年 8 月 13 日既然没人用流水线,就把 runner 服务关掉吧,没那么多事 |
10 polaa 2021 年 8 月 13 日和关不关 runner 无关 你这版本这么低 看一下 gitlab security release 就有一些 code injection |
13 polaa 2021 年 8 月 13 日最新一个 release GitLab Security Release: 14.1.2, 14.0.7, and 13.12.9 for GitLab Community Edition (CE) |
15 polaa 2021 年 8 月 13 日官网都有吧 |
16 yw9381 2021 年 8 月 13 日 via Android看了下应该大概能给你复原出来攻击场景,首先你的 gitlab 应该是开放了注册或者有人有弱口令。之后攻击者创建或是修改了某个仓库,并在其中加入了.gitlab-ci.yml 。然后触发了 ci 操作。因为你 gitlab 和 gitlab runner 都在一个机器上部署。所以 runmer 是可以访问到本机的 pgsql 的。攻击者在 runner 的 ci 脚本里写了那句 sh -c xxxx 。在 4 楼的解码后也可以看到攻击者创建了一个名为 dexbcx 的管理员用户。后续的攻击动作因为没提供更多信息就不得而知了。 |
17 yw9381 2021 年 8 月 13 日 via Android个人觉得这是一个安全配置问题。并不算是有漏洞。安全缺陷和漏洞是两码事。不过还是建议你们内部自查一下弱口令这些。还有相应的权限管控。 |
20 raysonlu 2021 年 8 月 13 日@yw9381 补充一下,我逐个项目看,找不到.gitlab-ci.yml 文件,以及在 /var/opt/gitlab/git-data/repositories 路径中,find ./ -name "*gitlab*",找不到。 |
21 polaa 2021 年 8 月 13 日about gitlab com/releases 加上 . 简单说一下 你这个版本收到各种 XSS 未授权访问操作 文件上传 信息泄露等漏洞影响 这些漏洞组合起来存在很多攻击方式 举例: |
22 raysonlu 2021 年 8 月 13 日@polaa 怪不得我看 gitlab 的访问日志中,超多类似“{domain}/项目组名 /项目名字.git/info/refs?service=git-upload-pack”的路径访问,而且 IP 都是境外! |
26 wangkun025 2021 年 8 月 13 日就创建了一个管理员级别的用户。然后估计可以为所欲为了。反正 git 的 repo 应该都被查看过了。 |
27 locoz 2021 年 8 月 13 日 via Android暴露在公网的服务如果没有额外的保护措施就必须跟最新版本走,有任何安全更新必须立即更新,要不然就很容易被批量攻击拿下… |
28 raysonlu 2021 年 8 月 13 日@zhighest 我简单解读一下,任意账号密码 get 请求一下{domain}/users/sign_in,获得一个 token,然后尝试拿 token 去尝试 post 请求这个地址正式登录,如果成功,就继续创建包含命令的图片,并尝试上传到{domain}/uploads/user 。如果是这样的话,我是否能在服务器里面的哪个地方找到上传的图呢? |
31 loki13 2022 年 2 月 25 日gitlab 不同版本各种漏洞,技术支持力度不够的话,自建自管理风险真还挺高的。。。国内的话可以考虑下阿里腾讯的公有云服务,至少有人给兜底。 |
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。