CISA cảnh báo: Lỗ hổng CVE GitLab bị khai thác nghiêm trọng

Một lỗ hổng CVE quan trọng của GitLab đã được thêm vào danh mục Các Lỗ hổng Đã Bị Khai thác (KEV) của CISA. Các tác nhân đe dọa đang tích cực khai thác một lỗ hổng Giả mạo yêu cầu phía máy chủ (SSRF) trong các phiên bản GitLab Community và Enterprise.

Lỗ hổng này, được theo dõi dưới mã định danh CVE-2021-39935, tiềm ẩn rủi ro đáng kể cho các tổ chức sử dụng các phiên bản GitLab bị ảnh hưởng. Việc khai thác thành công có thể dẫn đến việc truy cập trái phép và đánh cắp thông tin nhạy cảm.

Nội dung

Phân Tích Kỹ Thuật về CVE-2021-39935

Cơ Chế Khai Thác qua API CI Lint

Cảnh Báo từ CISA và Yêu Cầu Khắc Phục

Chỉ Thị Khai Thác Bắt Buộc của CISA

Biện Pháp Khắc Phục và Phòng Ngừa Hiệu Quả

Kiểm Tra và Giám Sát Hệ Thống

Cấu Hình Giảm Thiểu (Tạm Thời)

Phân Tích Kỹ Thuật về CVE-2021-39935

Lỗ hổng SSRF cho phép các kẻ tấn công từ bên ngoài thực hiện các yêu cầu phía máy chủ thông qua API CI Lint của GitLab. API này thường được sử dụng để xác thực các tệp cấu hình GitLab CI/CD.

Tuy nhiên, khuyết điểm bảo mật này cho phép các tác nhân độc hại lạm dụng nó để gửi các yêu cầu đã được chế tạo từ máy chủ GitLab đến các hệ thống nội bộ hoặc bên ngoài.

Các cuộc tấn công giả mạo yêu cầu phía máy chủ đặc biệt nguy hiểm. Chúng cho phép kẻ tấn công vượt qua các kiểm soát bảo mật mạng. Từ đó, kẻ tấn công có thể truy cập các tài nguyên nội bộ mà lẽ ra không thể tiếp cận được từ bên ngoài mạng.

Khai thác lỗ hổng CVE-2021-39935 có thể cho phép các tác nhân đe dọa thực hiện quét mạng nội bộ. Ngoài ra, chúng có thể truy cập dữ liệu nhạy cảm từ các dịch vụ siêu dữ liệu đám mây hoặc tương tác với các API nội bộ thiếu xác thực phù hợp.

Cơ Chế Khai Thác qua API CI Lint

API CI Lint của GitLab được thiết kế để phân tích cú pháp và xác thực các tệp cấu hình CI/CD. Nó có khả năng thực hiện các yêu cầu HTTP đến các điểm cuối được chỉ định trong cấu hình.

Đây là điểm yếu mà kẻ tấn công khai thác. Bằng cách chèn các URL độc hại vào cấu hình CI/CD hoặc các tham số đầu vào được xử lý bởi API CI Lint, kẻ tấn công có thể buộc máy chủ GitLab tạo ra các yêu cầu đến các đích không mong muốn.

Các đích này có thể bao gồm các địa chỉ IP nội bộ, các dịch vụ web cục bộ, hoặc các API quản lý đám mây. Khả năng này tạo ra một cầu nối từ internet công cộng vào mạng nội bộ của tổ chức.

Cảnh Báo từ CISA và Yêu Cầu Khắc Phục

Quyết định của CISA về việc đưa CVE-2021-39935 vào danh mục Các Lỗ hổng Đã Bị Khai thác (KEV) vào ngày 3 tháng 2 năm 2026, cho thấy rằng các nhà nghiên cứu bảo mật hoặc cơ quan chính phủ đã quan sát thấy các nỗ lực khai thác đang diễn ra trong các cuộc tấn công thực tế.

Mặc dù các chiến dịch tấn công cụ thể chưa được công bố rộng rãi, cảnh báo của CISA cho thấy các tác nhân độc hại đang lợi dụng lỗ hổng này để thực hiện các tấn công mạng vào các phiên bản GitLab dễ bị tổn thương. Danh mục KEV của CISA là một nguồn thông tin quan trọng về các lỗ hổng đang bị khai thác.

Lỗ hổng CVE này ảnh hưởng đến cả phiên bản Community và Enterprise của GitLab. Điều này có nghĩa là các tổ chức ở mọi quy mô đang chạy các phiên bản này đều có thể gặp rủi ro bảo mật.

Với việc GitLab được sử dụng rộng rãi trong các môi trường DevOps cho quản lý mã nguồn và các pipeline CI/CD, các phiên bản bị xâm nhập có thể cung cấp cho kẻ tấn công quyền truy cập vào cơ sở hạ tầng phát triển và kho lưu trữ mã nguồn quan trọng.

Chỉ Thị Khai Thác Bắt Buộc của CISA

Các cơ quan liên bang thuộc Chỉ thị Vận hành Ràng buộc (BOD) 22-01 của CISA phải khắc phục lỗ hổng này trước ngày 24 tháng 2 năm 2026.

Thời hạn này nhấn mạnh mức độ khẩn cấp và nguy hiểm của lỗ hổng CVE-2021-39935, đòi hỏi các hành động ngay lập tức để bảo vệ hệ thống.

Biện Pháp Khắc Phục và Phòng Ngừa Hiệu Quả

Tất cả các tổ chức đang sử dụng các phiên bản GitLab bị ảnh hưởng nên ngay lập tức áp dụng các bản vá bảo mật do GitLab cung cấp. Đây là biện pháp khắc phục ưu tiên và hiệu quả nhất để loại bỏ lỗ hổng.

Trong trường hợp không thể áp dụng các bản vá kịp thời, các quản trị viên nên triển khai các biện pháp khắc phục tạm thời do nhà cung cấp cung cấp. Hoặc, tạm thời tắt chức năng API CI Lint để giảm thiểu rủi ro bảo mật.

Kiểm Tra và Giám Sát Hệ Thống

Các tổ chức cũng nên xem xét nhật ký truy cập GitLab của mình để tìm kiếm các mẫu hoạt động đáng ngờ có thể chỉ ra các nỗ lực khai thác.

Các dấu hiệu cần chú ý bao gồm các yêu cầu API bất thường đến điểm cuối CI Lint hoặc các kết nối đi không mong muốn từ máy chủ GitLab. Việc giám sát liên tục là yếu tố then chốt để phát hiện sớm các hành vi độc hại.

Một số mẫu hoạt động đáng ngờ cần kiểm tra:

Yêu cầu truy cập đến các địa chỉ IP nội bộ không mong muốn từ máy chủ GitLab.
Các yêu cầu HTTP/HTTPS đến các dịch vụ siêu dữ liệu đám mây (ví dụ: http://169.254.169.254/latest/meta-data/).
Lưu lượng mạng ra ngoài từ máy chủ GitLab đến các cổng hoặc dịch vụ bất thường.
Các lỗi hoặc phản hồi không mong muốn từ API CI Lint khi xử lý cấu hình CI/CD.

Cấu Hình Giảm Thiểu (Tạm Thời)

Nếu việc tắt hoàn toàn API CI Lint không khả thi, các quản trị viên có thể xem xét triển khai các chính sách tường lửa hoặc proxy ngược để hạn chế các loại yêu cầu nhất định mà API CI Lint có thể thực hiện.

Ví dụ, chặn các yêu cầu đến các dải IP riêng tư hoặc các cổng nhạy cảm có thể giảm thiểu một phần nguy cơ khai thác lỗ hổng CVE này.

# Ví dụ cấu hình Nginx để chặn truy cập SSRF đến dải IP nội bộlocation /api/v4/ci/lint { proxy_pass http://gitlab_backend; # Chặn truy cập đến các dải IP riêng tư (RFC1918) deny 10.0.0.0/8; deny 172.16.0.0/12; deny 192.168.0.0/16; # Có thể thêm các dải IP nhạy cảm khác tùy theo môi trường proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;}

Lưu ý rằng đây chỉ là biện pháp tạm thời và không thay thế việc áp dụng bản vá bảo mật chính thức từ GitLab.