近年來，隨著開源技術(shù)如火如荼地發(fā)展，各行各業(yè)紛紛開始選擇擁抱開源，給產(chǎn)業(yè)發(fā)展升級帶來了新的活力。

但不可否認的是，開源技術(shù)的安全性依舊是一個難以解決的難題，甚至已經(jīng)開始影響開源生態(tài)的健康發(fā)展。作為一個開放的形態(tài)，開源技術(shù)更側(cè)重技術(shù)的應(yīng)用，而忽略了技術(shù)本身是否安全，因此對于漏洞修復(fù)并不積極。

據(jù)Rapid7發(fā)布的報告顯示，半年多以前已經(jīng)披露的一個高危漏洞，直到現(xiàn)在竟然還有一多半的GitLab 服務(wù)器仍然沒有進行修復(fù)。犯罪分子完全可以利用這個已知的漏洞發(fā)起網(wǎng)絡(luò)攻擊。

這里先簡單介紹一下該漏洞的基本情況。

2021年4月14日，安全研究人員發(fā)現(xiàn)一個GitLab 服務(wù)器遠程命令執(zhí)行漏洞，編號CVE-2021-22205，CVSS v3評分為10.0。該漏洞在無需進行身份驗證的情況下即可進行利用，社區(qū)版(CE)和企業(yè)版(EE)皆受影響。

4月15日，GitLab官方發(fā)布安全更新修復(fù)了此GitLab命令執(zhí)行漏洞(CVE-2021-22205)，由于GitLab中的ExifTool沒有對傳入的圖像文件的擴展名進行正確處理，攻擊者通過上傳特制的惡意圖片，可以在目標服務(wù)器上執(zhí)行任意命令，還可以訪問存儲庫，甚至是刪除、修改和竊取源代碼。

該漏洞正在被利用

由于很多GitLab 服務(wù)器遲遲未修復(fù)漏洞，讓不法分子有了可趁之機。2021年6月，威脅組織開始利用該漏洞，他們在GitLab 服務(wù)器中創(chuàng)建新賬號，并賦予管理員權(quán)限。在這個過程中，攻擊者不需要驗證或使用 CSRF 令牌，甚至不需要一個有效的 HTTP 端點來使用漏洞。

為了進一步確定該漏洞的潛在影響范圍，國際知名網(wǎng)絡(luò)安全公司Rapid7開始調(diào)查尚未修復(fù)漏洞的GitLab 服務(wù)器數(shù)量。

調(diào)查結(jié)果令人大吃一驚。數(shù)據(jù)顯示，截止到2021年11月，被調(diào)查的6W個GitLab 服務(wù)器中，50%以上沒有針對性修復(fù)該漏洞;29%不確定是否存在漏洞，因為無法提取這些服務(wù)器的版本字符串。

這意味著只有20%左右的GitLab 服務(wù)器是確定修復(fù)了該漏洞。這還僅僅是這個漏洞的修復(fù)情況，那么其他的高危漏洞呢，又有多少修復(fù)了的?

在報告中，安全研究人員建議用戶將GitLab社區(qū)版(CE)和企業(yè)版(EE)版本升級至13.10.3、13.9.6和13.8.8進行防護。

參考來源：

https://www.bleepingcomputer.com/news/security/over-30-000-gitlab-servers-still-unpatched-against-critical-bug/