【導(dǎo)讀】GitLab最近又被DDoS攻擊給盯上了，峰值流量超1 Tbps。此次攻擊的漏洞來源于4月份已經(jīng)修復(fù)的bug，但仍有30000臺未安裝更新的服務(wù)器遇難。

GitLab 又被分布式拒絕服務(wù)（DDoS）攻擊了！

負(fù)責(zé)谷歌DDoS防御的云安全可靠性工程師Damian Menscher最近披露，有攻擊者正在利用 GitLab 托管服務(wù)器上的安全漏洞來構(gòu)建僵尸網(wǎng)絡(luò)，并發(fā)起規(guī)模驚人的分布式拒絕服務(wù)攻擊（DDoS）。其中一些攻擊的峰值流量，甚至超過了1 Tbps 。

本次攻擊利用的漏洞編號為CVE-2021-22205，GitLab曾在2021年4月修復(fù)該漏洞。

此次攻擊由 William Bowling發(fā)現(xiàn)，并通過Bug Bount報告給GitLab，漏洞主要影響的組件是Exiftool，可以用于從上載到Web服務(wù)器的圖像中刪除元數(shù)據(jù)的庫。

GitLab 在他們私有版本GitLab Community Edition（CE）和Enterprise Edition（EE）中使用Exiftool，也就是GitLab服務(wù)的開源和商業(yè)版本，公司可以在自己的服務(wù)器上安裝，用于在安全環(huán)境中處理私有代碼，而不必使用GitLab的云服務(wù)。

在通過Hackerone提交的一份報告中，Bowling說他發(fā)現(xiàn)了一種濫用Exiftool處理用于掃描文檔的DJVU文件格式上傳的方法，以獲得對整個GitLab Web服務(wù)器的控制權(quán)。

據(jù)意大利安全公司HN Security稱，利用這一漏洞的攻擊始于今年6月，該公司上周首次報告了漏洞的使用跡象。

當(dāng)時安全研究員Piergiovanni Cipolloni表示，在發(fā)現(xiàn)有隨機(jī)命名的用戶被添加到受感染的GitLab服務(wù)器后，他們隨即對此展開了調(diào)查。這些用戶很可能是由攻擊者一手創(chuàng)建，旨在對受害系統(tǒng)實(shí)施遠(yuǎn)程控制。

盡管HN Security尚不清楚這些攻擊的目的，但Google工程師Damian Menscher已于昨日表示，被黑服務(wù)器屬于某個巨型僵尸網(wǎng)絡(luò)的一部分。

該網(wǎng)絡(luò)包含成千上萬個受感染的GitLab實(shí)例，且正被用于發(fā)起大規(guī)模的DDoS攻擊。遺憾的是，盡管GitLab已于2021年4月完成了修補(bǔ)，仍有大約30000個GitLab服務(wù)器尚未打上補(bǔ)丁。

這說明了什么？不要禁用安全更新！當(dāng)然了，Windows更新的開啟和關(guān)閉是一個玄學(xué)問題。

值得注意的是，GitLab問題核心的Exiftool漏洞（CVE-2021-22204）也可能影響部署該工具的其他類型的Web應(yīng)用程序，，其他類型的Web應(yīng)用程序也可能需要修補(bǔ)。

防止攻擊的簡單方法是阻止DjVu文件在服務(wù)器級別上載，如果公司不需要處理此文件類型的話。

DDoS（分布式拒絕服務(wù)）實(shí)際上是一種常見的網(wǎng)絡(luò)攻擊，亦稱洪水攻擊，其目的在于使目標(biāo)電腦的網(wǎng)絡(luò)或系統(tǒng)資源耗盡，使服務(wù)暫時中斷或停止，導(dǎo)致其正常用戶無法訪問。當(dāng)黑客使用網(wǎng)絡(luò)上兩個或以上被攻陷的電腦作為「僵尸」向特定的目標(biāo)發(fā)動「拒絕服務(wù)」式攻擊時，稱為分布式拒絕服務(wù)攻擊。

就是說服務(wù)器的流量都被用于服務(wù)僵尸網(wǎng)絡(luò)了，當(dāng)正常用戶訪問時，已經(jīng)沒有多余的能力來應(yīng)對了，對于用戶來說網(wǎng)站癱瘓了。

首先，DDoS攻擊會拒絕訪問你的網(wǎng)站或服務(wù)。攻擊者濫用受感染或配置錯誤的機(jī)器（服務(wù)器，路由器甚至PC機(jī)）的網(wǎng)絡(luò)，以向單個系統(tǒng)生成大量虛假流量，從而使其暫時不可用。

并且大多數(shù)托管和云提供商會向其客戶收取額外的帶寬或計算能力。如果啟用了自動擴(kuò)展，則在遭受DDoS攻擊時，入口流量激增和基礎(chǔ)架構(gòu)可能會開始快速擴(kuò)展，本月Internet流量和計算資源費(fèi)用不斷增加，導(dǎo)致更高的運(yùn)營成本。

由于數(shù)據(jù)庫和系統(tǒng)不堪重負(fù)，未保存的工作可能不會被存儲或緩存。對于處理關(guān)鍵任務(wù)工作負(fù)載或運(yùn)行某些數(shù)據(jù)一致性至關(guān)重要的在線事務(wù)處理應(yīng)用程序的企業(yè)而言，這可能是一個至關(guān)重要的問題。

服務(wù)器日志將與數(shù)千個攻擊日志混在一起，因此將很難進(jìn)行過濾和檢查一切是否正常。另外，你可能設(shè)置了if-then規(guī)則，并使系統(tǒng)自反應(yīng)。在這種情況下，混雜的日志可能會對系統(tǒng)造成實(shí)際損害，從而給你造成很大的影響。

DDoS還可以用作服務(wù)錯亂這種攻擊技術(shù)。當(dāng)管理人員忙于過濾流量時，可能會同時執(zhí)行小的破壞性攻擊。這種相似的攻擊方式曾經(jīng)對號稱世界上最安全的比特幣錢包Electrum進(jìn)行過。

當(dāng)時來自超過15萬個受感染主機(jī)的巨大DDoS攻擊被發(fā)往Electrum網(wǎng)絡(luò)，中斷了所有用戶的交易。同時，網(wǎng)絡(luò)釣魚攻擊迫使惡意消息彈出給客戶端，要求他們更新軟件。然后，人們錯誤地安裝了惡意軟件，該惡意軟件立即將所有的賬戶余額都轉(zhuǎn)向了攻擊者的錢包。

2017年時，GitLab就發(fā)生過不小心刪除了數(shù)據(jù)庫導(dǎo)致網(wǎng)站下線的事故。

Gitlab遭受了惡意郵件發(fā)送者的DDoS攻擊，導(dǎo)致數(shù)據(jù)庫寫入鎖定，網(wǎng)站出現(xiàn)不穩(wěn)定和宕機(jī)，在阻止了惡意郵件發(fā)送者之后，運(yùn)維人員開始修復(fù)數(shù)據(jù)庫不同步的問題，在修復(fù)過程中，錯誤的在生產(chǎn)環(huán)境上執(zhí)行了數(shù)據(jù)庫目錄刪除命令，導(dǎo)致300GB數(shù)據(jù)被刪除，Gitlab被迫下線。

在試圖進(jìn)行數(shù)據(jù)恢復(fù)時，發(fā)現(xiàn)只有 db1.staging的數(shù)據(jù)庫可以用于恢復(fù)，其它五種備份機(jī)制均無效。db1.staging是6小時前的數(shù)據(jù)，而且傳輸速率有限，導(dǎo)致恢復(fù)進(jìn)程緩慢。

Gitlab第一時間在Twitter上對事件的處置狀態(tài)進(jìn)行實(shí)時更新，后來索性在 Youtube上開了頻道直播恢復(fù)進(jìn)程，網(wǎng)站恢復(fù)了正常后，gitlab還是丟掉了差不多6個小時的數(shù)據(jù)。

2018年時，GitHub也曾遭受過DDoS攻擊，峰值流量甚至達(dá)到了1.3 Tbps，在當(dāng)時堪稱史上最嚴(yán)重的DDoS攻擊。GitHub受到攻擊后，服務(wù)器斷斷續(xù)續(xù)，無法訪問。攻擊發(fā)生10分鐘后，GitHub向CDN服務(wù)商Akamai請求協(xié)助，訪問GitHub的流量由后者接管。

Akamai用多種方式防御這次攻擊。除了通用DDoS防御基礎(chǔ)架構(gòu)之外，該公司最近還針對源自memcached服務(wù)器的DDoS攻擊實(shí)施了特定的緩解措施。

網(wǎng)絡(luò)監(jiān)測和輿情分析公司ThousandEyes表示「這次防御做的很出色，一切都在15-20分鐘內(nèi)完成。如果看一下統(tǒng)計數(shù)據(jù)，就會發(fā)現(xiàn)，單獨(dú)的DDoS攻擊檢測通常都要一個小時，而這次20分鐘內(nèi)搞定」。

Akamai懷疑攻擊者僅僅是因?yàn)镚itHub很高端，知名度很高，所以鎖定了GitHub作為目標(biāo)。而防御措施太快，持續(xù)時間相當(dāng)短，可能還沒來的及要贖金，一切就結(jié)束了。

目前防御手段的發(fā)展也很快，在2020年時，AWS報告說2月檢測到2.3Tb的DDos攻擊，持續(xù)了三天，意圖癱瘓AWS，但沒有成功。

規(guī)模來看雖然達(dá)到了2018年GitHub的兩倍，但防御起來顯然比之前更輕松。

但I(xiàn)BM就相對比較慘了，2020年6月11日，IBM聲明稱，云業(yè)務(wù)宕機(jī)事件是由第三方網(wǎng)絡(luò)提供商非預(yù)期地調(diào)整IBM對外網(wǎng)絡(luò)路由，導(dǎo)致其全球流量一度嚴(yán)重受阻。聲明中還提到，整個事件持續(xù)時間是從北京時間6月10日早上5:55到早上9:30。兩個小時后該公司再次發(fā)推表示，所有的IBM云服務(wù)已重啟。

IBM宣布了這次事故歸咎于「外部網(wǎng)絡(luò)提供商用錯誤的路由癱瘓了IBM云網(wǎng)絡(luò)」。然而，Techzim從一個技術(shù)來源處收到了一份信息，該技術(shù)來源自始至終都在監(jiān)視停機(jī)情況，并顯示了IBM云網(wǎng)絡(luò)本身發(fā)生的問題。

所以說，如果一家云公司一年沒有幾次大事故，那它就不能稱之為云巨頭。

參考資料：

https://therecord.media/gitlab-servers-are-being-exploited-in-ddos-attacks-in-excess-of-1-tbps/

本文來自微信公眾號“新智元”（ID:AI_era），編輯：LRS，36氪經(jīng)授權(quán)發(fā)布。

關(guān)鍵詞： 峰值 服務(wù)器 Tbs