GitLab重大漏洞CVE-2021-22205遭主动攻击，CISA发布紧急警告

CISA针对GitLab关键漏洞发布紧急指令

美国网络安全与基础设施安全局（CISA）近日发布紧急指令，要求联邦机构立即修补GitLab中一个已存在五年的严重漏洞（CVE-2021-22205），该漏洞目前正被黑客主动利用。该漏洞允许未经身份验证的远程代码执行（RCE），对未修补的系统构成严重威胁。

CVE-2021-22205技术细节

• CVE编号：CVE-2021-22205
• CVSS评分：10.0（严重）
• 受影响版本：GitLab社区版（CE）和企业版（EE） 11.9至13.10.3 版本
• 漏洞类型：GitLab ExifTool组件中的输入验证不当，导致未经身份验证的RCE
• 攻击向量：攻击者可上传恶意图像文件，触发任意代码执行，无需身份验证

该漏洞最初于2021年4月披露，但由于企业环境中的修补延迟，至今仍是持续威胁。CISA的指令强调，政府和私营部门组织正面临针对该漏洞的持续攻击。

影响分析

成功利用CVE-2021-22205可使攻击者：

• 在易受攻击的GitLab服务器上执行任意命令
• 获取对敏感代码仓库和CI/CD流水线的未授权访问
• 部署勒索软件、后门或其他恶意负载
• 在被入侵的网络中横向移动

安全研究人员已观察到实际攻击利用该漏洞，包括部署挖矿恶意软件和建立持久访问通道。由于该漏洞严重性高且易于利用，已成为威胁行为者的主要目标。

缓解措施与建议

CISA的强制性操作指令（BOD 22-01）要求联邦机构：

1. 立即修补至GitLab 13.10.3或更高版本
2. 隔离易受攻击的系统，若无法立即修补
3. 监控入侵迹象，包括代码仓库异常变更或未授权访问

对于私营部门组织，安全团队应：

• 优先修补所有GitLab实例
• 审查日志，查找可疑活动，如意外文件上传或命令执行
• 实施网络分段，限制横向移动
• **强制启用多因素身份验证（MFA）**以保护GitLab账户

GitLab已提供详细修补说明，适用于受影响版本。各组织应尽快验证其GitLab实例并立即应用更新。

结论

尽管CVE-2021-22205是已知漏洞，但由于未修补的系统依然存在，该漏洞仍在被持续利用。CISA的指令凸显了及时处理遗留漏洞的紧迫性，尤其是那些具备严重RCE能力的漏洞。安全团队必须迅速采取行动，降低风险并防止潜在的安全漏洞。