Philipp Trommlers Blog

Möglicher Gitlab-Hack

Heute habe ich einen neuen und unbekannten Nutzer auf unserer Firmen-Gitlab-Instanz bemerkt: "johnyj12345". Wir haben die Instanz sofort offline genommen, da Johny offensichtlich Zugriff auf Geheimnisse hatte. Möglicherweise solltest du das gleiche tun.

Veröffentlicht am (zuletzt geändert am ) von Philipp Trommler. Dieser Beitrag wurde außerdem übersetzt nach: en.

Sucht man im Internet nach dem Benutzernamen (Achtung: Google-Link), findet man schnell viele betroffene, selbstgehostete Gitlab-Instanzen. Das beobachtbare Verhalten ist dabei immer das selbe: Johny legt ein oder mehrere miteinander verbundene Issues an, an deren Ende sich entweder eine Datei oder ein Link auf eine Datei findet, die Gitlabs secrets.yml enthält.

In der Suche wirkt es, als hätte die Attacke am Samstag begonnen, aber der Schein kann trügen. Unabhängig davon solltest du wahrscheinlich deine Gitlab-Instanz offline nehmen, falls du betroffen bist, denn die secrets.yml enthält sowohl den Gitlab-Base-Key als auch den Datenbankverschlüsselungs-Key und beide sollten wohl besser geheim sein. Ich kann nicht beurteilen, inwiefern diese Schlüssel allein einen Angriffsvektor darstellen, aber sicher ist sicher, insbesondere da die Datei leicht mit der Google-Suche gefunden werden kann.

Wir überlegen uns derzeit einen durchführbaren und sicheren Weg, die Schlüssel zu rotieren. Jeder nützliche Hinweis dahingehend wird dankend angenommen.

Nachtrag

Laut dem offiziellen Forum wurde für den Hack ein bekannter Bug (CVE-2020-10977) ausgenutzt, der bereits im März diesen Jahres mit Version 12.9.1 gefixed worden ist. Wir hatten, im Gegensatz zu vielen anderen, dieses Update bereits installiert, weswegen der Link im von Johny erzeugten Issue ins nichts zeigte.

Lieber gleich Gitlabs Atom-Feed abonnieren, damit wir Hackern auch weiterhin möglichst wenig Angriffsfläche bieten. Leider stellen sie keinen update-spezifischen zur Verfügung.

Abgelegt unter Security. Tags: git, gitlab, hacking, web.

Willst du diesen Beitrag kommentieren? Schreib mir an blog [at] philipp-trommler [dot] me!

Beiträge von Blogs, denen ich folge

Fuzz Week 2020
via Gamozo Labs Blog, July 12, 2020

Summary

Colorado's Police Reform Law
via /dev/lawyer, July 8, 2020

first-read highlights

Extra commas in a CSV
via BASHing data, July 8, 2020

How to safely delete just the excess commas

Generiert mit openring