Code-Hosting: Gitlab-Instanzen für 1 TBit/s-DDoS missbraucht

Angreifer missbrauchen offenbar zahlreiche selbst gehostete Instanzen der offenen Code-Verwaltung Gitlab, um daraus ein Botnetz zu erstellen, mit dem wiederum riesige DDoS-Angriffe gestartet werden. Davor warnt der für die Abwehr von DDoS-Angriffen bei Google zuständige Security Reliability Engineer, Damian Menscher, auf Twitter. Die Gitlab-Instanzen werden demnach für DDoS-Angriffe mit 1 TBit/s Netzwerkverkehr missbraucht. Zuerst hatte The Record berichtet.

Grundlage für die Möglichkeit der DDoS-Angriffe ist offenbar eine Sicherheitslücke in Gitlab, die es den Angreifern ermöglicht, vollständigen Zugriff über Gitlab zu erlangen. Die Lücke (CVE-2021-22205) selbst hat das Entwicklungsteam von Gitlab bereits Mitte April dieses Jahres bekannt gegeben und einen entsprechenden Patch bereitgestellt. Betroffenen seien demnach alle Versionen beginnend mit Version 11.9.

Die Sicherheitslücke betrifft konkret das auch von Gitlab genutzte Exiftool, ein Werkzeug mit dem Metadaten und Tags aus Bildern entfernt werden können. Eigentlich sollte Gitlab dies nur für Jpeg- und Tiff-Dateien nutzen. Ein einfaches Umbenennen anderer Dateien führte aber ebenfalls dazu, dass diese dann von Gitlab an das Exiftool weitergeleitet wurden, wie der Entdecker der Lücke auf Hackerone schreibt. Über die Lücke selbst konnte dann die Gitlab-Instanz übernommen werden.

In der vergangenen Woche berichteten die Sicherheitsforscher von HN Security schließlich, dass die besagte Lücke für Angriffe aktiv ausgenutzt werde. Dies sei wohl sogar schon seit mindestens Juni oder Juli dieses Jahres der Fall. Laut Menscher werden damit aber nicht nur Gitlab-Instanzen übernommen, sondern diese werden offenbar auch zu einem Botnetz zusammengeschlossen. Dem Google-Angestellten zufolge handelt es sich bei den DDoS-Angriffen über das Gitlab-Botnetz außerdem um die bisher größten Angriffe dieser Art. Bisherige DDoS-Angriffe seien zwar schon größer gewesen, hätte dafür aber UDP-Amplification genutzt.