看完这个视频我不禁沉默了,让我想起了18年的春节后,家里人让我去一个公司上班,那个公司跟视频里的有一个特别像,又是跳舞,又是演讲的,我回忆了一下,那个公司的员工基本上是打电话,问一大本电话薄上的各个“客户”,需不需要本公司的产品,当时我跟几个年龄差不多但都不认识的人一起进的公司,那年,我18岁,我甚至跑到厕所,跟家里人打了个电话,我说,这真的不是传销吗?他们说,你不要在那里乱说,虽说是上班,但你最重要的是在那里学习,如果公司让你打电话啊之类的,你也慢慢学,特别是要跟他们一起,学会“讲话”。我现在想想,真是细思极恐,我要真变成这样的人,真就没有未来了(转自我上次在这种“企业文化”视频下评论的内容)。
Google 云安全可靠性工程师 Damian Menscher 在今日披露的 CVE-2021-22205 漏洞利用报告中指出:有攻击者正在利用 GitLab 托管服务器上的安全漏洞来构建僵尸网络,并发起规模惊人的分布式拒绝服务攻击(DDoS)。其中一些攻击的峰值流量,甚至超过了 1 Tbps 。
攻击盯上了 GitLab 的元数据删除功能
The Record 报道称:该漏洞由 William Bowling 发现,并通过漏洞赏金计划提交给了 GitLab 官方。
具体受影响的组件被称作 ExifTool,它是一个用于将图像上传到 Web 服务器、并剔除元数据的库。
GitLab 在社区版(CE)和企业版(EE)上均使用了 ExifTool,且公司能够将其服务的开源 / 商业版本安装在自己的服务器上。
这样一来,企业能够专注于他们想要处理专有代码的场景安全环境,而无需使用基于云端的 GitLab 服务。
(图自:HN Security)
然而在向 HackerOne 提交的一份报告中,Bowling 称其发现了一种滥用 ExifTool 的方法,可被用于扫描 DjVu 格式的文档上传,进而获得对整个底层 GitLab 网络服务器的控制。
上周首次披露漏洞利用迹象的意大利安全公司 HN Security指出,攻击可追溯到今年 6 月份。
当时安全研究员 Piergiovanni Cipolloni 表示,在发现有随机命名的用户被添加到受感染的 GitLab 服务器后,他们随即对此展开了调查。这些用户很可能是由攻击者一手创建,旨在对受害系统实施远程控制。
尽管 HN Security 尚不清楚这些攻击的目的,但 Google 工程师 Damian Menscher 已于昨日表示,被黑服务器属于某个巨型僵尸网络的一部分。
该网络包含成千上万个受感染的 GitLab 实例,且正被用于发起大规模的 DDoS 攻击。遗憾的是,尽管 GitLab 已于 2021 年 4 月完成了修补,仍有大约 30000 个 GitLab 服务器尚未打上补丁。
相关阅读:俄罗斯服务器 |
发表于 2023-10-27 21:51:25
