Möglicher Gitlab-Hack
Heute habe ich einen neuen und unbekannten Nutzer auf unserer Firmen-Gitlab-Instanz bemerkt: "johnyj12345". Wir haben die Instanz sofort offline genommen, da Johny offensichtlich Zugriff auf Geheimnisse hatte. Möglicherweise solltest du das gleiche tun.
Veröffentlicht am (zuletzt geändert am ) von Philipp Trommler. Dieser Beitrag wurde außerdem übersetzt nach: en.
Sucht man im Internet nach dem
Benutzernamen (Achtung:
Google-Link), findet man schnell viele betroffene, selbstgehostete
Gitlab-Instanzen. Das beobachtbare Verhalten ist dabei immer das selbe: Johny
legt ein oder mehrere miteinander verbundene Issues an, an deren Ende sich
entweder eine Datei oder ein Link auf eine Datei findet, die Gitlabs
secrets.yml
enthält.
In der Suche wirkt es, als hätte die Attacke am Samstag begonnen, aber der
Schein kann trügen. Unabhängig davon solltest du wahrscheinlich deine
Gitlab-Instanz offline nehmen, falls du betroffen bist, denn die secrets.yml
enthält sowohl den Gitlab-Base-Key als auch den Datenbankverschlüsselungs-Key
und beide sollten wohl besser geheim sein. Ich kann nicht beurteilen, inwiefern
diese Schlüssel allein einen Angriffsvektor darstellen, aber sicher ist sicher,
insbesondere da die Datei leicht mit der Google-Suche gefunden werden kann.
Wir überlegen uns derzeit einen durchführbaren und sicheren Weg, die Schlüssel zu rotieren. Jeder nützliche Hinweis dahingehend wird dankend angenommen.
Nachtrag¶
Laut dem offiziellen Forum wurde für den Hack ein bekannter Bug (CVE-2020-10977) ausgenutzt, der bereits im März diesen Jahres mit Version 12.9.1 gefixed worden ist. Wir hatten, im Gegensatz zu vielen anderen, dieses Update bereits installiert, weswegen der Link im von Johny erzeugten Issue ins nichts zeigte.
Lieber gleich Gitlabs Atom-Feed abonnieren, damit wir Hackern auch weiterhin möglichst wenig Angriffsfläche bieten. Leider stellen sie keinen update-spezifischen zur Verfügung.
Abgelegt unter Security. Tags: git, gitlab, hacking, web.
Willst du diesen Beitrag kommentieren? Schreib mir an blog [at] philipp-trommler [dot] me!