Code-Hosting: Gitlab-Instanzen für 1 TBit/s-DDoS missbraucht

Eine Lücke im Gitlab-Server wird laut Google für massive DDoS-Angriffe missbraucht. Der Patch für die Lücke ist ein halbes Jahr alt.

Artikel veröffentlicht am ,
Gitlab-Instanzen werden für einen riesigen DDoS-Angriff ausgenutzt.
Gitlab-Instanzen werden für einen riesigen DDoS-Angriff ausgenutzt. (Bild: Gitlab)

Angreifer missbrauchen offenbar zahlreiche selbst gehostete Instanzen der offenen Code-Verwaltung Gitlab, um daraus ein Botnetz zu erstellen, mit dem wiederum riesige DDoS-Angriffe gestartet werden. Davor warnt der für die Abwehr von DDoS-Angriffen bei Google zuständige Security Reliability Engineer, Damian Menscher, auf Twitter. Die Gitlab-Instanzen werden demnach für DDoS-Angriffe mit 1 TBit/s Netzwerkverkehr missbraucht. Zuerst hatte The Record berichtet.

Stellenmarkt
  1. Architect Data Center & Cloud (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
  2. Storage & Backup Architect (m/w/d)
    operational services GmbH & Co. KG, Wolfsburg, Leinfelden-Echterdingen
Detailsuche

Grundlage für die Möglichkeit der DDoS-Angriffe ist offenbar eine Sicherheitslücke in Gitlab, die es den Angreifern ermöglicht, vollständigen Zugriff über Gitlab zu erlangen. Die Lücke (CVE-2021-22205) selbst hat das Entwicklungsteam von Gitlab bereits Mitte April dieses Jahres bekannt gegeben und einen entsprechenden Patch bereitgestellt. Betroffenen seien demnach alle Versionen beginnend mit Version 11.9.

Die Sicherheitslücke betrifft konkret das auch von Gitlab genutzte Exiftool, ein Werkzeug mit dem Metadaten und Tags aus Bildern entfernt werden können. Eigentlich sollte Gitlab dies nur für Jpeg- und Tiff-Dateien nutzen. Ein einfaches Umbenennen anderer Dateien führte aber ebenfalls dazu, dass diese dann von Gitlab an das Exiftool weitergeleitet wurden, wie der Entdecker der Lücke auf Hackerone schreibt. Über die Lücke selbst konnte dann die Gitlab-Instanz übernommen werden.

In der vergangenen Woche berichteten die Sicherheitsforscher von HN Security schließlich, dass die besagte Lücke für Angriffe aktiv ausgenutzt werde. Dies sei wohl sogar schon seit mindestens Juni oder Juli dieses Jahres der Fall. Laut Menscher werden damit aber nicht nur Gitlab-Instanzen übernommen, sondern diese werden offenbar auch zu einem Botnetz zusammengeschlossen. Dem Google-Angestellten zufolge handelt es sich bei den DDoS-Angriffen über das Gitlab-Botnetz außerdem um die bisher größten Angriffe dieser Art. Bisherige DDoS-Angriffe seien zwar schon größer gewesen, hätte dafür aber UDP-Amplification genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Microsoft
Windows 11 verlangsamt SSDs wohl teils merklich

Viele Teile der Community messen schlechtere Werte im Vergleich zu Windows 10, wenn sie Windows 11 auf ihren SSDs verwenden.

Microsoft: Windows 11 verlangsamt SSDs wohl teils merklich
Artikel
  1. CoreELEC/LibreELEC: Smart-TV mal anders
    CoreELEC/LibreELEC
    Smart-TV mal anders

    Eine TV-Box Marke Eigenbau bringt Spaß und Gewissheit über unsere Daten. Die Linux-Distributionen CoreELEC und LibreELEC eignen sich da besonders.
    Eine Anleitung von Sebastian Hammer

  2. Weltraumteleskop: Hubble ist wieder im Einsatz
    Weltraumteleskop
    Hubble ist wieder im Einsatz

    Mit einer neuen Software sollen die Instrumente des Weltraumteleskops künftig auch trotz bestimmter Fehler weiter arbeiten.

  3. Ubisoft Blue Byte: Anno 1800 muss in die Verlängerung
    Ubisoft Blue Byte
    Anno 1800 muss in die Verlängerung

    Vorerst gibt es kein neues Anno und auch kein Die Siedler: Ubisoft Blue Byte kündigt für 2022 eine vierte Season für Anno 1800 an.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /