상세 컨텐츠

본문 제목

인증이 필요하지 않은 GitLab의 RCE 취약점

국내외 보안동향

by MIR 2021. 12. 20. 15:35

본문

지금은 패치가 적용된 GitLab 웹 인터페이스의 원격 코드 실행 취약점이 실제 공격에 적극적으로 악용되어, 현재 인터넷에 노출된 다수의 GitLab 인스턴스가 공격에 취약한 상태가 되었습니다.


CVE-2021-22205 취약점은 사용자가 제공한 이미지의 유효성을 제대로 검증하지 않아 임의 코드가 실행되는 문제입니다.


지난 달 HN시큐리티가 상세하게 설명한 분석 보고서에 따르면, CVE-2021-22205 취약점을 악용하여 이름이 밝혀지지 않은 고객의 공개적으로 접근이 가능한 GitLab 서버에 관리자 권한을 가진 2개의 사용자 계정이 등록되었습니다.

 

[그림 1] 2개의 의심스러운 관리자 계정 (출처: HN시큐리티)

이는 GitLab CE의 취약한 버전이 기본적으로 사용자 등록을 허용했기 때문에 가능했습니다. 더욱이 등록 단계에서 지정한 전자 메일 주소는 기본적으로 확인되지 않으므로 새로 생성된 사용자는 추가 단계 없이 자동으로 로그인되며, 관리자에게 통보되지 않습니다.

 

[그림 2] GitLab 기본 등록 제한 (출처: HN시큐리티)

결과적으로는 권한 상승을 포함한 임의 명령 원격 실행으로 이어지도록 악성 페이로드 이미지를 업로드할 수 있었습니다.

 

[그림 3] CSRF 토큰과 인증 토큰을 얻기 위한 첫 번째 요청 (출처: HN시큐리티)

 

[그림 4] 인증이 필요하지 않은 악성 페이로드 업로드를 위한 요청 (출처: HN시큐리티)

CVE-2021-22205 취약점은 처음에는 인증이 필요한 RCE로 간주되어 CVSSv3 점수 9.9를 받았습니다. 하지만, 2021년 9월 21일에 인증되지 않은 공격자에 의해 트리거 될 수 있다는 것이 확인되어 CVSSv3 점수 10.0으로 수정되었습니다.


사이버 보안 회사 Rapid7은 2021년 10월 24일(현지시간) 발표한 경고문에서 “CVSS 점수가 소폭 상승했음에도 불구하고, 취약점이 인증에서 비인증으로 변화한 것은 방어자에게 큰 영향을 미친다”고 밝혔습니다.


패치가 공개된지 6개월 이상이 지났지만, 인터넷에 연결된 60,000개의 GitLab 중 21%만이 해당 문제에 대해 완전히 패치한 것으로 나타났습니다. 50%는 여전히 원격 코드 실행 공격에 취약하며, 나머지 29%는 취약하거나 취약하지 않을 수 있습니다.


CVE-2021-22205 취약점의 인증이 필요없는 특징으로 보아, 이를 악용한 공격은 증가할 것으로 예상됩니다. 따라서, GitLab 사용자는 가능한 빨리 최신 버전으로 업데이트해야 합니다. 또한, 연구원들은 “GitLab이 인터넷 연결 서비스가 되어서는 안되며, 인터넷을 통해 GitLab에 접근해야 하는 경우에는 VPN 뒤에 배치하는 것이 좋습니다.”고 말했습니다.


GitLab Workhorse

GitLab은 Redis, Nginx 등 많은 요소로 구성되어 있습니다. 그 중 업로드를 처리하는 것을 gitlab-workhorse라고 하는데, 이는 [그림 5]와 같이 최종 첨부파일을 Rails에 전달하기 전에 ExifTool을 차례로 호출합니다.

 

[그림 5] Upload 시퀀스 다이어그램 (출처: HN시큐리티)

따라서, CVE-2021-22205 취약점에 영향을 받았는지 확인하려면 gitlab-workhorse 로그를 확인하면 됩니다. (Ubuntu 기준 ‘/var/log/syslog/gitlab/gitlab-workhorse/’)

패치가 적용된 GitLab 버전에서도 공격 시도에 대한 Gitlab-workhorse 로그를 확인할 수 있습니다.

 

영향을 받는 제품

GitLab의 2021년 4월 자문에 따르면, CVE-2021-22205는 11.9부터 GitLab Enterprise Edition(EE)과 GitLab Community Edition(CE)의 모든 버전에 영향을 미칩니다. 취약점은 아래의 버전에서 패치되었습니다.

13.10.3
13.9.6
13.8.8

 

출처 :

https://thehackernews.com/2021/11/alert-hackers-exploiting-gitlab.html

https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/

https://attackerkb.com/topics/D41jRUXCiJ/cve-2021-22205/rapid7-analysis

https://www.rapid7.com/blog/post/2021/11/01/gitlab-unauthenticated-remote-code-execution-cve-2021-22205-exploited-in-the-wild/

https://security.humanativaspa.it/gitlab-ce-cve-2021-22205-in-the-wild/

 

MIR Team

관련글 더보기

댓글 영역