Comments 20
Попал, скорее всего через последнюю дыру, связанную с exiftool, защищаться патчем, кому платить — обнародовать вариант, а ещё было бы круто не выпускать гитлаб наружу, максимум до прокси, а там логать всё, что отправляется, в том числе ключи шифрования.
Дополню по мере изучения, пока не до этого, уж поймите.
Тогда надо дописать "изучаю, будет дополняться", а то сейчас нахватаете минусов на ровном месте...
Да, признаться давно не публиковал тут ничего, решил вот максимально оперативно сообщить о некоей мелочи, которая может порушить всю работу, причём достаточно вероятно. И вот на своей шкуре оценил, то, про что недавно говорил автор поста про уход с Хабра из-за токсичного сообщества. Не думал что настолько все печально.
Весьма озадачивает количество негатива от праздной публики, ожидавшей увидеть в публикации типа "Новость" не меньше аналитического обзора от Лаборатории Касперского.
А как проник шифровальщик? Проводили ли вы расследование? Есть ли понимание об уязвимости? Какая версия Gitlab?
Через какую уязвимость пробрался, если упоминаете уязвимость?
Нашли файл самого шивровальщика? Проверяли на вирустотал?
Файлы шифрованы полностью или фрагментами?
Что в файле readme, куда просят платить, кто?
Возростала нагрузка на процесор при работе шифровальщика? Нашли что-то подозрительное в логах nginx, git?
Изучение пока оставлено на вторую очередь, пока решаем первостепенные вопросы, поэтому не могу ответить на все вопросы. Как только появится информация дополню.
Пока насколько понимаю ситуацию там не было как такового "экзешника" этого вируса, а использовалась дыра в коде гитлаба.
Общая суть публикации была в том, чтобы все кто еще этого не сделал обновились.
уважаемый автор, Вы бы хоть версию указали.
Возможно, речь про это: https://habr.com/ru/company/ruvds/news/t/587174/
Использовалась версия 13.9.6, подверженная уязвимости CVE-2021-22205
Как раз не подверженная же
Up to (excluding)
13.9.6
Как я понял для них была позже выпущена заплатка, а сама по себе она подвержена.
И по страничке CVE, и по посту в блоге гитлаба выходит, что 13.9.6 как раз и есть патч, исправляющий эту уязвимость.
Удалось как-то восстановиться?
Сегодня общался со знакомым - ровно такая же проблема случилась где-то в пятницу. Все индентично. Но, что самое интересное, у него крутился личный Gitlab (образ в Docker) за VPN. То есть напрямую в Интернет Gitlab не торчал. Есть подозрения, что зараза попала в то время, пока он был подключен к VPN. Постараюсь выяснить подробности.
UPD. Забыл добавить, сам Gitlab на Linux крутится, через VPN подключается только с Мака.
Версия 13.9.6
После нее, т.е. спустя более чем полгода(на 02.02.2021), было выпущено уже 29(!) версий в рамках мажорной 13й. Не говоря уже о том что есть уже мажорная 14я.
Среди них были и security updates.
Так что ничего удивительного и сенсационного. Давайте еще поставим windows 98 и будем удивляться что с первого же сайта словили порнобаннеры, шифровальщики и прочую грязь.
Понятно что в рамках мажорной не у всех есть возможность обновляться так быстро, но вот минорные надо ставить. Вообще Gitlab достаточно динамичный в плане выпуска версий, это надо понимать когда ставишь его в инфраструктуру.
Вирус-шифровальщик для GitLab CE