【安全资讯】CISA警告：五年历史的GitLab漏洞正被积极利用于攻击

概要：

美国网络安全和基础设施安全局（CISA）近日发布紧急指令，要求联邦机构紧急修补一个已有五年历史的GitLab漏洞（CVE-2021-39935）。该服务器端请求伪造（SSRF）漏洞正被恶意攻击者积极利用，对政府及企业网络构成严重威胁。鉴于GitLab平台在全球拥有超过3000万注册用户，并被半数以上的财富100强公司使用，此漏洞的潜在影响范围极为广泛。

主要内容：

CISA已将CVE-2021-39935漏洞列入其“已知被利用漏洞”目录，并依据具有约束力的操作指令（BOD）22-01，要求联邦民事行政部门机构在2026年2月24日之前完成修补。该漏洞是一个服务器端请求伪造（SSRF）缺陷，存在于GitLab CE/EE的特定版本中。

攻击者无需任何权限或身份验证，即可通过CI Lint API发起服务器端请求。CI Lint API本用于模拟流水线和验证CI/CD配置，但当用户注册受限时，非开发人员的外部用户本不应访问此接口。该漏洞使得未授权攻击者能够绕过这一限制。

尽管BOD 22-01指令主要针对联邦机构，但CISA强烈敦促所有组织，包括私营部门，优先修复此漏洞。CISA警告称，此类漏洞是恶意网络行为者的常见攻击媒介，对联邦及更广泛的网络环境构成重大风险。根据Shodan数据，目前有超过49,000台具有GitLab指纹的设备暴露在互联网上。

此次事件凸显了修补老旧漏洞的重要性，即使它们已被披露多年。未能及时更新的系统，尤其是那些暴露在公网上的服务，极易成为攻击目标，可能导致敏感数据泄露或系统被进一步入侵。