Portada
Hace 2 años | Por ccguy a therecord.media
Publicado hace 2 años por ccguy a therecord.media

Servidores de GitLab están siendo explotados en ataques DDoS de más de 1 Tbps [ENG]

 therecord.media

Los actores de las amenazas están explotando un fallo de seguridad en los servidores autoalojados de GitLab para montar redes de bots y lanzar gigantescos ataques de denegación de servicio distribuidos (DDoS), algunos de ellos de más de 1 terabit por segundo (Tbps). La vulnerabilidad afecta a ExifTool, una biblioteca utilizada para eliminar los metadatos de las imágenes subidas a los servidores web. GitLab utiliza ExifTool dentro de GitLab Community Edition (CE) y Enterprise Edition (EE), las versiones comerciales y de código abierto.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 1.5k 33

Comentarios

ccguy
autor

#4 pues dirías mal. Los servidores están siendo explotados para atacar a otros, no están siendo atacados ellos mismos.

V 15
K 132
s

#5 ah ok.

V 0
K 12
i

#5 Pues discrepo. Para mi se explota la vulnerabilidad para ganar acceso a los servidores.

V 2
K 23
D

#5 Sí. Pero más exactamente es la vulnerabilidad/fallo lo que se está explotando.

V 1
K 24
Ferran
editado

#16 Rebota, rebota y en tu culo explota

V 0
K 15
ccguy
autor

#2 sí. Como a los camareros, no como a las bombas

V 13
K 123
s

#3 Diría más atacados o sufriendo un ataque, no tiene aquí el significado de los camareros.

V 1
K 22
ustrum
editado

#4 se atacan los servidores explotando una vulnerabilidad. La vulnerabilidad se explota como se explota a un camarero o una mina, no se ataca...

V 1
K 13
l

#3 Mira que te he votado positivo, pero tiene razón: En este caso, es que atacan el servidor explotando la vulnerabilidad.

V 0
K 7
ccguy
autor

#19 no. Aprovechan la vulnerabilidad para usar esos servidores para atacar a otros sistemas.

V 0
K 20
l

#2 Yo creo que en ese contexto sí

Del fr. exploiter 'sacar provecho [de algo]'.

1. tr. Extraer de las minas la riqueza que contienen.
2. tr. Sacar utilidad de un negocio o industria en provecho propio.
3. tr. Utilizar abusivamente en provecho propio el trabajo o las cualidades de otra persona.

Como "Es un fallo del que es fácil sacar provecho". Otra cosa es si se tradujera "exploit", que ahí ya no lo veo

V 6
K 72
eldarel

#2 En IT el idioma suele ser el inglés y por el dinamismo se suelen usar calcos en castellano.
No da tiempo a que un traductor imponga una traducción más adecuada.
Cuando lo intentan, el término calco ya es mayoritariamente usado por los técnicos y no lo entenderían.

V 6
K 69
LeDYoM

#8 Te voto positivo y me voy a compilar y luego a linkar.

V 3
K 41
e
editado

#10 Se dice "linquear" lol

V 0
K 9
Windows95

#11 Se dice "aliquindoi".

V 0
K 11
eldarel

#10 Lo mío es más bien pedir trazas (logs) y vuelcos de memoria (memory dumps).

En vivo, directamente hablo la itlingua (mezcla de español y palabros en inglés técnico).
Tipo: Haz click en el botón y aparece un dialog para sacar los logs y hacer el troubleshooting.

V 1
K 17
LeDYoM

#15 Si me pides una traza a mi, no se que te daré

V 0
K 10
musg0

#18 Una traza de crafé, probablemente

V 2
K 18
d

#15 vuelcos? En mis tiempos en España se decía un volcado (de memoria).

V 0
K 6
eldarel

#24 diferencia de estilo

V 0
K 11
D

#24 los jefes dicen volquetes

V 0
K 7
d

#31 es su jerga

V 1
K 13
analphabet
editado

Tela, el fallo es un RCE muy fácil de explotar. Hace un par de semanas, en una conocida plataforma de hacking, el paso final para conseguir shell en el servidor era precisamente aprovecharse de esta vulnerabilidad.

V 3
K 42
s

#1 #0 ¿"explotar" es la traducción correcta?

V 0
K 12
xkill
editado

#2 Del fr. exploiter 'sacar provecho [de algo]'. RAE

V 0
K 9
D

Solo son vulnerables las versiones por debajo de la 13.10 y si tenéis en producción, con acceso a internet gitlab por debajo de esa versión ya os vale https://www.rapid7.com/blog/post/2021/11/01/gitlab-unauthenticated-remote-code-execution-cve-2021-22205-exploited-in-the-wild/

V 1
K 18
frg

#23 Solo lleva seis meses arreglada ...

V 1
K 17
D

I don't care, I use Linux

V 1
K 15
xkill
editado

#14 Keep calm while rm -rf /

V 1
K 12
Candidatas
16
meneos
tecnología Décadas después, John Romero recuerda el nacimiento del shooter en primera persona (ENG)
26
meneos
tecnología Alejandro Cáceres, el ‘hacker’ que dejó a Corea del Norte sin internet desde su casa: “Mi ataque fue respuesta a su intento de espiarme”
10
meneos
tecnología Groq revoluciona la IA con su nueva unidad de procesamiento de lenguaje (LPU)
12
meneos
tecnología ¿Es el año de Windows en el escritorio? [ENG]
16
meneos
tecnología Apple ha sufrido un hackeo en tres de su softwares principales
15
meneos
tecnología Auge y caída de los juegos Flash
7
meneos
tecnología Adiós a la carga diaria: esta batería en estado sólido promete multiplicar por cinco la autonomía de tu smartwatch
9
meneos
tecnología Alguien ha utilizado una Raspberry Pi de menos de 10 euros para un estupendo proyecto: crear su propio Macintosh original
5
meneos
tecnología Perfil de Trevor Rainbolt, campeón mundial de GeoGuessr (ENG)
5
meneos
tecnología Encontró el sueño americano en TikTok de China, la realidad fue más complicada
8
meneos
tecnología China hace realidad 'Skynet': crea el primer comandante militar de inteligencia artificial
8
meneos
tecnología Darpa selecciona nueve candidatos para desarrollar el nuevo VTOL de EEUU
7
meneos
tecnología Systemd 256.1 Corrige el bug "systemd-tmpfiles borra tu directorio /home de manera inesperada" [ENG]
14
meneos
tecnología Ferrari está matando el navegador GPS en sus coches. La razón es muy sencilla: son tan malos que nadie los usa
8
meneos
tecnología Esta noria giratoria es lo último en granjas lecheras. Las más grandes pueden ordeñar más de 100 vacas a la vez
8
meneos
tecnología Podrás recibir comida "a domicilio"... en el Himalaya. Lo han conseguido con esta tecnología
6
meneos
tecnología ¿te escucha tu móvil?
7
meneos
tecnología EEUU, China y Reino Unido, los mercados más atractivos para invertir en baterías: España, ni sale y pierde fuelle en renovables
9
meneos
tecnología Ilya Sutskever, cofundador de OpenAI, anuncia su nueva empresa
D

Joder macho, siempre es.gitlab.

V 0
K 12
p

¿Cuántos bitcoins habrían ganado si en lugar de hacer ataques DDoS hubieran estado minando?

V 0
K 10
cacahuetefeliz

#27 Pues precisamente hacen las 2 cosas. Yo dejé un honeypot con un Gitlab vulnerable y en menos de 48h ya tenia un minero de Monero y varios scripts más para hacer peticiones a los sitios que les interesa.

El minero y los scripts para mantenerlo vivo aún están accesibles aquí:

http://135.125.217.87/stl.sh

V 0
K 6
Chusticia4all

rm -rf /

V 0
K 6