Code-Hosting: Gitlab-Instanzen für 1 TBit/s-DDoS missbraucht

Eine Lücke im Gitlab-Server wird laut Google für massive DDoS-Angriffe missbraucht. Der Patch für die Lücke ist ein halbes Jahr alt.

Artikel veröffentlicht am ,
Gitlab-Instanzen werden für einen riesigen DDoS-Angriff ausgenutzt.
Gitlab-Instanzen werden für einen riesigen DDoS-Angriff ausgenutzt. (Bild: Gitlab)

Angreifer missbrauchen offenbar zahlreiche selbst gehostete Instanzen der offenen Code-Verwaltung Gitlab, um daraus ein Botnetz zu erstellen, mit dem wiederum riesige DDoS-Angriffe gestartet werden. Davor warnt der für die Abwehr von DDoS-Angriffen bei Google zuständige Security Reliability Engineer, Damian Menscher, auf Twitter. Die Gitlab-Instanzen werden demnach für DDoS-Angriffe mit 1 TBit/s Netzwerkverkehr missbraucht. Zuerst hatte The Record berichtet.

Grundlage für die Möglichkeit der DDoS-Angriffe ist offenbar eine Sicherheitslücke in Gitlab, die es den Angreifern ermöglicht, vollständigen Zugriff über Gitlab zu erlangen. Die Lücke (CVE-2021-22205) selbst hat das Entwicklungsteam von Gitlab bereits Mitte April dieses Jahres bekannt gegeben und einen entsprechenden Patch bereitgestellt. Betroffenen seien demnach alle Versionen beginnend mit Version 11.9.

Die Sicherheitslücke betrifft konkret das auch von Gitlab genutzte Exiftool, ein Werkzeug mit dem Metadaten und Tags aus Bildern entfernt werden können. Eigentlich sollte Gitlab dies nur für Jpeg- und Tiff-Dateien nutzen. Ein einfaches Umbenennen anderer Dateien führte aber ebenfalls dazu, dass diese dann von Gitlab an das Exiftool weitergeleitet wurden, wie der Entdecker der Lücke auf Hackerone schreibt. Über die Lücke selbst konnte dann die Gitlab-Instanz übernommen werden.

In der vergangenen Woche berichteten die Sicherheitsforscher von HN Security schließlich, dass die besagte Lücke für Angriffe aktiv ausgenutzt werde. Dies sei wohl sogar schon seit mindestens Juni oder Juli dieses Jahres der Fall. Laut Menscher werden damit aber nicht nur Gitlab-Instanzen übernommen, sondern diese werden offenbar auch zu einem Botnetz zusammengeschlossen. Dem Google-Angestellten zufolge handelt es sich bei den DDoS-Angriffen über das Gitlab-Botnetz außerdem um die bisher größten Angriffe dieser Art. Bisherige DDoS-Angriffe seien zwar schon größer gewesen, hätte dafür aber UDP-Amplification genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
OpenAI
Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store

Nur einen Tag, nachdem OpenAI ChatGPT für Entwickler geöffnet hat, lassen sich Angebote finden, die es nicht geben dürfte.

OpenAI: Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store
Artikel
  1. AVM: Huawei-Patent kommt in Fritzboxen nicht zum Einsatz
    AVM
    Huawei-Patent kommt in Fritzboxen nicht "zum Einsatz"

    Huawei hat einen großen Patentpool zu Wi-Fi 6. Fritzbox-Hersteller AVM hat die Patente nach eigenen Angaben in seinen Wi-Fi-6-Routern nicht genutzt, will sie aber dennoch für ungültig erklären lassen.

  2. LTE: Kaum weniger Funklöcher in Deutschland
    LTE
    Kaum weniger Funklöcher in Deutschland

    Während bei 5G viel ausgebaut wurde, haben die Netzbetreiber zu wenig LTE-Funklöcher geschlossen. Das ergab zumindest eine Auswertung von Verivox.

  3. E-Corner: Hyundai entwickelt Klappräder zum seitlichen Einparken
    E-Corner
    Hyundai entwickelt Klappräder zum seitlichen Einparken

    Die Hyundai-Tochter Mobis präsentiert eine Technik, mit der sich die Autoräder seitlich drehen lassen, um das parallele Einparken zu erleichtern.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Lenovo 34" 21:9 Curved WQHD 299€ • ASRock RX 7900 XTX 1.039,18€ • War Hospital 21,59€ • Amazon-Geräte -50% • Acer 34" OLED UWQHD 175Hz 999€ • PS5 + Spider-Man 2 569€ • AMD Ryzen 9 5950X 379€ • Switch-Controller 17,84€ • AOC 27" QHD 165Hz 229€ • 3 Spiele für 49€ [Werbung]
    •  /