GitHub の脆弱性 CVE-2024-0200 が FIX:漏洩キーのローテーションにも対応

GitHub rotates keys to mitigate impact of credential-exposing flaw

2024/01/16 BleepingComputer — GitHub がローテーションしたキーは、2023年12月に発生した脆弱性へのパッチ適用により、公開されてしまう可能性があるものだ。この脆弱性の悪用に成功した攻撃者は、環境変数を介して運用中のコンテナ内の認証情報にアクセスできたという。この、不適切なリフレクションの脆弱性 CVE-2024-0200 が悪用されると、パッチ未適用のサーバ上で、リモート・コード実行にいたる可能性がある。

1月16日 (火) の時点で、GitHub Enterprise Server (GHES) のバージョン 3.8.13/3.9.8/3.10.5/3.11.3 に対してパッチが適用されている。同社は、すべての顧客に対して、可能な限り早急にセキュリティ・アップデートをインストールするよう促している。

脅威アクターたちは、プロダクション・コンテナの環境変数および認証情報にアクセスできるが、この悪用を成功させるための前提として、組織の所有者ロール (組織の管理者アクセス権) を用いた認証が必要となる。

Github の VP and Deputy Chief Security Officer である Jacob DePriest は、「2023年12月26日に GitHub は、バグ報奨金プログラムを通じて、この脆弱性に関する報告を受けた。それが悪用されると、プロダクション・コンテナ内の認証情報に不正アクセスが可能になる。当社では直ちに、この脆弱性を GitHub.com 上で修正し、公開されている可能性のある、すべてのクレデンシャルのローテーションを開始した」と述べている。

Jacob DePriest は、「この問題の独自性とテレメトリ/ロギングの分析に基づき、詳細にいたるまでの調査を実施した結果として、この脆弱性は過去に判明しておらず、悪用されていないと高い確信を持って評価している」と付け加えている。

この脆弱性の影響を把握しているのは、GitHub のバグ報奨金プログラムを通じて、問題を報告した研究者だけである。組織所有者のロール要件は、重要な緩和要因であり、セキュリティ手順に従い、資格情報は用心深くローテーションされているという。

2023年12月に、GitHub がローテーションした大半の鍵に対して、顧客による操作は不要とされるが、GitHub のコミット署名鍵や、GitHub Actions/GitHub Codespaces/Dependabot の顧客暗号鍵を使用しているユーザーは、新しい公開鍵をインポートする必要があるという。

GitHub rotating keys

DePriest は、「GitHub から提供される、最新データを確実に利用するためには、API から公開鍵を定期的に取り込むことを強く推奨する。それにより、将来的に新しい鍵をシームレスに採用できるようになる」と述べている。

さらに GitHub は、Enterprise Server に存在する、コマンド・インジェクションの脆弱性 CVE-2024-0507 も修正した。この脆弱性の悪用に成功した攻撃者は、編集者ロールを持つ Management Console ユーザー・アカウントを悪用して、権限を昇格させる可能性を得るという。

この1年間において GitHub は、暴露/窃取されたシークレットのローテーションや失効に追い込まれており、今回のような対応は初めてのことではない。

たとえば、2023年3月にも、GitHub.com の SSH 秘密鍵が、GitHub のパブリック・リポジトリを介して公開されるというインシデントがあった。この誤った公開は短時間で収束したが、RSA を用いる SSH 経由での Git 操作に影響が生じたことで、キーのローテーションへと至っている。

このインシデントは、すべてのパブリック・リポジトリに対して、GitHub がシークレット・スキャンを展開し始めた数週間後に発生した。このスキャンでは、API キー/アカウントパスワード/認証トークンなどの機密データ・アラートをサポートしているため、公開されたキーは検出できるはずだったという。

GitHub は、その数カ月前の 2022年12月にも、同社のリポジトリに侵入した未知の攻撃者にコード署名証明書を盗まれ、Desktop/ Atom アプリケーションのコード署名証明書を失効させている。

時系列を意識しながら訳しても、ちょっと分かりにくい文章になってしまいました。かいつまんで話すと、昨年末のパッチで紛れ込んでしまった脆弱性を、改めて FIX しましたが、この間にシークレットが漏れてしまった可能性があるので、キーをローテーションしますということなのでしょう。GitHub に限ったことではありませんが、こうしたリポジトリの問題にスポットライトが当たり始めてから、さまざまな欠陥が修正されてきました、しかし、まだまだ充分とは言えず、2024年も継続して対応の年になるのだろうと思います。よろしければ、GitHub で検索も、ご利用ください。