Cyberthreat.id – Rapid7, perusahaan konsultan keamanan siber, baru-baru ini menemukan peretas jahat mengeksploitasi kelemahan kritis pada layanan GitLab.

Kerentanan berupa eksekusi kode jarak jauh (remote  code execution/RCE). Meski telah diperbaiki pada 14 April 2021, ternyata kerentanan itu masih bisa dieksploitasi, tutur peneliti Rapid7 dikutip dari BleepingComputer, diakses Rabu (3 November 2021).

GitLab adalah sebuah layanan yang menyediakan akses jarak jauh ke repositori Git, peranti lunak terbuka berupa sistem kontrol yang membantu tim programmer mengelola perubahan pada kode sumber saat pengembangan proyek perkakas lunak.

Kerentanan itu dilabeli sebagai CVE-2021-22205 dan memiliki skor keparahan 10 lantaran penyerang jarak jauh yang tidak diautentikasi (diizinkan) bisa mengeksekusi perintah sewenang-wenang (arbitrer) sebagai pengguna “git” alias admin repositori tersebut.

“Kerentanan ini memberi penyerang jarak jauh akses penuh ke repositori, termasuk menghapus, memodifikasi, dan mencuri kode sumber,” tutur Rapdi7.

Menurut peneliti, peretas pertama kali mulai mengeksploitasi peladen (server) GitLab yang terhubung ke internet pada Juni 2021 untuk membuat akun pengguna baru (new user) dan menyetel kemampuan sebagai hak admin.

Para aktor menggunakan eksploitasi kerja yang dipublikasikan di situs web GitHub pada 4 Juni 2021, yang memungkinkan mereka untuk menyalahgunakan komponen ExifTool yang rentan.

Pelaku ancaman tidak perlu mengautentikasi atau menggunakan token CSRF atau bahkan titik akhir HTTP yang valid untuk menggunakan eksploitasi.

Dengan eksploitasi yang terus berlanjut hingga hari ini, peneliti Rapid7 memutuskan untuk melihat jumlah sistem yang belum ditambal.

Ternyata, sekitar 50 persen dari 60.000 instalasi GitLab yang terhubung ke internet tidak ditambal dari kelemahan RCE kritis tersebut.

Oleh karenanya, peneliti menganjurkan agar admin perlu memperbarui ke salah satu versi berikut untuk menambal kekurangannya: GitLab versi 13.10.3, 13.9.6, dan 13.8.8.

“Versi apa pun yang lebih awal dari itu dan hingga 11.9 rentan terhadap eksploitasi baik Anda menggunakan GitLab Enterprise Edition (EE) atau GitLab Community Edition (CE),” kata Rapdi7.

Untuk memastikan bahwa GitLab Anda tidak rentan terhadap eksploitasi, disarankan memeriksa responsnya terhadap permintaan POST yang mencoba mengeksploitasi kesalahan penanganan file gambar ExifTool.

Versi yang ditambal masih memungkinkan seseorang untuk menjangkau ExifTool, tetapi respons terhadap permintaan tersebut seharusnya berupa penolakan dalam bentuk kesalahan HTTP 404.[]