JFrog Artifactory Vulnerabilities: Patch Now to Protect Your Software Supply Chain
2023/03/07 SecurityOnline — 数多くの開発チームが重要とするツール JFrog Artifactory に、いくつかのセキュリティ脆弱性が存在することが、最近になって判明した。これらの欠陥の深刻度は様々であり、それぞれのソフトウェア開発パイプラインを危険にさらす可能性がある。このリスクを理解し、システムを保護するためには、迅速な行動が重要となる。
脆弱性: 知っておくべきこと
CVE-2023-42509:この機密漏洩の脆弱性 CVE-2023-42509 (CVSS:6.6) は、Artifactory におけるリポジトリのコンフィグ管理の方法に起因する。誤って処理されたエラーの連鎖により、認証情報や内部システム情報などの、機密データの漏えいいたる可能性がある。それ自体が、直ちに壊滅的な被害をもたらすわけではないが、漏洩した情報を取得する攻撃者は、防御を突破するための貴重な武器を手にすることになる。
CVE-2023-42661:この脆弱性は、Artifactory のファイル処理プロセスに関連するものである。注意深く細工されたリクエストを送信することで、認証された攻撃者は Artifactory を騙して、任意のファイルを書き込ませることに成功する。その結果として、システム・クラッシュやデータ破損が生じ、最悪のケースでは、マシン上で悪意のコードがダイレクトに実行されるなどの、深刻な事態に陥る可能性がある。
CVE-2023-42662:この脆弱性は、Artifactory の SSO (Single Sign-On) 機能を侵害するものである。特別に細工された Web アドレスにより騙されたユーザーが、アクセス・トークンを公開してしまう可能性が生じる。この攻撃に成功した攻撃者は、正当なユーザーになりすますキーを取得するため、Artifactory 環境内で大混乱が引き起こされることになる。
アクション プラン
Step_1 : リスクを評価する:実行している Artifactory のバージョンを、速やかに特定する。詳細な勧告 [1, 2, 3] と照らし合わせて、影響の有無を確認する。
Step_2:パッチの適用を優先する:すでに JFrog から、修正プログラムがリリースされている。可能な限り早急に、推奨されるパッチが適用されているバージョンへとアップデートする。この方式が、セキュリティ・ホールを塞ぐ上で、最も効果的である。
Step_3: 一時的な緩和策:直ちにアップグレードができない場合には、CLI トークン交換 API エンド・ポイントへのアクセスを、ブロックするなどの回避策が提案されている: https://Artifactory-Host/access/api/v2/authentication/jfrog_client_login/token/*
JFrog Artifactory を調べてみたら、Source Code Managers (SCMs)/Integrated Development Environments (IDEs) を取り込んだ、CI/CD スイートだと説明されていました。いま話題になっている、TeamCity の CVE-2024-27198 のように、事態が深刻化しないとよいですね。よろしければ、CI/CD で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.