HomeSecurityΠάνω από 30.000 διακομιστές GitLab είναι ευάλωτοι σε κρίσιμα σφάλματα

Πάνω από 30.000 διακομιστές GitLab είναι ευάλωτοι σε κρίσιμα σφάλματα

Ένα κρίσιμο ελάττωμα απομακρυσμένης εκτέλεσης κώδικα στο GitLab, που διορθώθηκε στις 14 Απριλίου 2021, παραμένει εκμεταλλεύσιμο, με πάνω από το 50% των διακομιστών να παραμένει χωρίς επιδιόρθωση.

GitLab

Δείτε επίσης: Python Package Index (PyPI) και GitLab δέχονται επιθέσεις spam

Η ευπάθεια χαρακτηρίστηκε ως CVE-2021-22205 και έχει βαθμολογία CVSS v3 10,0, επιτρέποντας σε έναν μη επαληθευμένο, απομακρυσμένο εισβολέα να εκτελεί αυθαίρετες εντολές ως χρήστης «git» (διαχειριστής αποθετηρίου).

Αυτή η ευπάθεια δίνει στον απομακρυσμένο εισβολέα πλήρη πρόσβαση στο αποθετήριο, συμπεριλαμβανομένης της διαγραφής, της τροποποίησης και της κλοπής του πηγαίου κώδικα.

#secnews #bot 

Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα. Σχεδόν τα τρία τέταρτα των καταναλωτών στο Ηνωμένο Βασίλειο (71%) πιστεύουν ότι κακόβουλα bot καταστρέφουν τα Χριστούγεννα, αγοράζοντας όλα τα περιζήτητα δώρα με τη μέθοδο scalping, σύμφωνα με την Imperva. Η εταιρεία προειδοποίησε ότι το «scalping», η πρακτική κατά την οποία οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν bot για να αγοράσουν αντικείμενα από διαδικτυακούς λιανοπωλητές και να τα πουλήσουν με κέρδος σε ιστότοπους μεταπώλησης, πρόκειται να επιδεινωθεί φέτος τα Χριστούγεννα.

00:00 Εισαγωγή
00:37 Ακριβότερα προϊόντα
01:22 Επιπλέον προβλήματα
01:48 Πρακτικές αντιμετώπισης

Μάθετε περισσότερα: https://www.secnews.gr/634984/bot-xrisimopoioun-scalping-eksantloun-ola-dimofili-dora/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #bot

Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα. Σχεδόν τα τρία τέταρτα των καταναλωτών στο Ηνωμένο Βασίλειο (71%) πιστεύουν ότι κακόβουλα bot καταστρέφουν τα Χριστούγεννα, αγοράζοντας όλα τα περιζήτητα δώρα με τη μέθοδο scalping, σύμφωνα με την Imperva. Η εταιρεία προειδοποίησε ότι το «scalping», η πρακτική κατά την οποία οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν bot για να αγοράσουν αντικείμενα από διαδικτυακούς λιανοπωλητές και να τα πουλήσουν με κέρδος σε ιστότοπους μεταπώλησης, πρόκειται να επιδεινωθεί φέτος τα Χριστούγεννα.

00:00 Εισαγωγή
00:37 Ακριβότερα προϊόντα
01:22 Επιπλέον προβλήματα
01:48 Πρακτικές αντιμετώπισης

Μάθετε περισσότερα: https://www.secnews.gr/634984/bot-xrisimopoioun-scalping-eksantloun-ola-dimofili-dora/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmxsM2o4ZE9RN0Rv

Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα

SecNewsTV 12 hours ago

Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη

SecNewsTV 14 hours ago

Οι hackers ξεκίνησαν για πρώτη φορά να εκμεταλλεύονται διακομιστές GitLab τον Ιούνιο του 2021 για να δημιουργήσουν νέους χρήστες και να τους δώσουν δικαιώματα διαχειριστή.

Οι κακόβουλοι παράγοντες χρησιμοποίησαν ένα λειτουργικό exploit που δημοσιεύτηκε στο GitHub στις 4 Ιουνίου 2021, το οποίο τους επιτρέπει να κάνουν κατάχρηση του ευάλωτου στοιχείου ExifTool.

Οι παράγοντες απειλής δεν χρειάζεται να περάσουν από έλεγχο της ταυτότητάς τους ή να χρησιμοποιήσουν ένα διακριτικό CSRF ή ακόμα και ένα έγκυρο τελικό σημείο HTTP για να εκμεταλλευτούν την ευπάθεια.

Δείτε ακόμα: Google Chrome: Αποκτά λειτουργία HTTPS-Only για ασφαλή περιήγηση

Με την ευπάθεια να συνεχίζεται μέχρι σήμερα, ερευνητές από το Rapid7 αποφάσισαν να εξετάσουν τον αριθμό των μη επιδιορθωμένων συστημάτων και να προσδιορίσουν το εύρος του υποκείμενου προβλήματος.

σφάλματα

Σύμφωνα με μια έκθεση που δημοσιεύτηκε από το Rapid7, τουλάχιστον το 50% των 60.000 εγκαταστάσεων GitLab που έχουν πρόσβαση στο Διαδίκτυο που ανακάλυψαν, δεν έχουν ενημερωθεί για το κρίσιμο ελάττωμα RCE που διορθώθηκε πριν από έξι μήνες.

Επιπλέον, άλλο ένα 29% μπορεί να είναι ή όχι ευάλωτο, καθώς οι αναλυτές δεν μπόρεσαν να εξάγουν τη συμβολοσειρά έκδοσης για αυτούς τους διακομιστές.

Οι διαχειριστές πρέπει να ενημερώσουν σε μία από τις ακόλουθες εκδόσεις για να επιδιορθώσουν το ελάττωμα:

13.10.3

13.9.6

13.8.8

Οποιεσδήποτε εκδόσεις προγενέστερες από αυτήν και μέχρι την 11.9 είναι ευάλωτες σε εκμετάλλευση είτε χρησιμοποιείτε GitLab Enterprise Edition (EE) είτε GitLab Community Edition (CE).

Δείτε επίσης: GitLab: Τέλος στις προσλήψεις προσωπικού από Κίνα και Ρωσία λόγω κατασκοπείας;

Για περισσότερες λεπτομέρειες σχετικά με τον τρόπο ενημέρωσης του GitLab, ανατρέξτε σε αυτήν την ειδική πύλη.

Οι επιδιορθωμένες εκδόσεις εξακολουθούν να επιτρέπουν σε κάποιον να επικοινωνήσει με το ExifTool, αλλά η απάντηση στο αίτημα θα πρέπει να είναι μια απόρριψη με τη μορφή σφάλματος HTTP 404.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS