gitlab откуда берутся неизвестные пользователи
Есть поднятый в Яндекс облаке gitlab сервер на публичном IP. Делалось в общем-то по инструкциям из интернета, никакого серьезного опыта и знаний в работе gitlab не обладаю. Обнаружил 2 новых пользователей с правами админа (нечитаемые имена, т.е. что-то сгенерированное автоматически похоже). Один был создан совсем давно, второй - пару дней назад. Пользователей, конечно же, заблокировал. Пытаюсь идентифицировать, откуда они появились, кто и как их создал. Возможно скомпрометированы чьи-то логин/пароль, или есть какие-то иные дыры. Логи в админке есть только за текущие сутки, т.е. нет возможности посмотреть, что было ранее.
В дополнение к прочему был зафиксирован большой объем исходящего трафика судя по мониторингу облака, что ещё больше подтверждает, что кто-то шарится и пытается что-то сделать с нашим гитлабом, но что - не понятно.
Подскажите, есть ли где-то расширенный аудит может быть или какие-то отметки? Или какие ещё варианты есть разобраться в причинах и постараться закрыть эту дыру?
Ответы (1 шт):
Если используется устаревшая версия gitlab'а, то в ней есть активно используемая уязвимость CVE-2021-22205.
По началу описания она очень похожа:
A few months ago one of our customers found two suspicious user accounts with admin rights on its Internet-exposed GitLab CE server, and asked us to investigate what it looked like a security incident.
Так что надо обновить gitlab до версии 14.4.0, в которой данная уязвимость отсутствует.
Ещё стоит обратить внимание, что
What appeared to be a privilege escalation vulnerability turned out to be an RCE vulnerability.
это уязвимость для удалённого исполнения кода, так что потенциально на сервере могут быть другие следы от вмешательства. Возможно, имеет смысл пересоздать весь сервер.