Urgent GitLab Update Patches Account Takeover Flaw, Other High-Severity Bugs
2024/04/24 SecurityOnline — 先日の GitLab セキュリティ・リリースで対処されたのは、広範なコード・リポジトリや開発ワークフローに影響を及ぼす可能性のある一連の脆弱性である。それらの脆弱性の悪用に成功した攻撃者は、リソース消耗によりサービス拒否から、完全なアカウント乗っ取りに至るまでの、さまざまな攻撃を引き起こす可能性を持つ。GitLab を利用している組織にとって、バージョン 16.11.1/16.10.4/16.9.6 へのアップグレードは必須である。
修正された主な脆弱性
CVE-2024-4024 (CVSS 7.3):Bitbucket OAuth を介したアカウント乗っ取り
特定の状況下において、Bitbucket の認証情報を盗んだ攻撃者が、他ユーザーの Bitbucket アカウントにリンクされた GitLab アカウントを、乗っ取る可能性が生じる。対象となるインスタンスが、OAuth プロバイダとする Bitbucket を使用している場合には、5月16日までにアカウントを再リンクして、アクセスを維持する必要がある。
CVE-2024-2434 (CVSS:8.5):パストラバーサルの脆弱性
パストラバーサルを悪用する攻撃者が、影響を受けるシステム上でサービス拒否 (DoS) 攻撃を引き起こす可能性および、アクセス制限されたファイルの読み取りなどを引き起こす可能性が生じる。
CVE-2024-2829 (CVSS:7.5):ワイルドカードによるサービス拒否
GitLab の FileFinder 検索において、悪意を持って細工されたワイルドカード・フィルタが使用されると、リソースの枯渇を引き起こし、DoS 状態に陥る可能性がある。
CVE-2024-4006 (CVSS:4.3): アクセストークンのオーバーリーチ
Personal Access Token (PAT) のスコープが、GraphQL サブスクリプションで適切に強制されないと、不正な操作を許してしまう可能性が生じる。
CVE-2024-1347 (CVSS:4.3): メールトリックによるセキュリティ回避
GitLab インスタンスやグループに対するドメインベースの制限が、特別にフォーマットされたメールアドレスを介して回避される可能性が生じる。
一連の脆弱性を重視すべきだ
これらの脆弱性の深刻度は中程度から高程度であるが、いずれも重大なリスクを伴う。特に、Bitbucket OAuth における脆弱性は、アカウントリンクの危険性を浮き彫りにしている。攻撃者にとって、攻撃対象領域が拡大されるため、相互接続されたサービスへと標的が広がる可能性が生じる。
取るべき対応は?
迅速なアップグレード: GitLab CE/ EE デプロイメントに対して、適切なパッチを適用する。すでに GitLab.com には、パッチが適用されている。
Bitbucket アカウントの再リンク: GitLab で Bitbucket OAuth を使用している場合には、5月16日までに Bitbucket アカウントでユーザーが再認証し、アクセスの中断を避けるべきだ。
警戒を怠らない: セキュリティは継続的なプロセスである。GitLab のセキュリティ・アドバイザリをサブスクライブし、開発インフラ全体においてプロアクティブなパッチ適用を維持すべきだ。
DevOps ツールへの脅威が進化している
今回の GitLab アドバイザリが浮き彫りにするのは、DevOps プラットフォームへと、攻撃者の対象が広がっていることだ。コード・コラボレーションとデプロイメントに不可欠なツールである DevOps プラットフォームは、機密データへのアクセスを提供し、また、広範な本番環境へのゲートウェイもなり得る。DevOps パイプラインを保護することは、ソフトウェアとビジネスを保護するために、きわめて重要である。
GitLab に複数の脆弱性が発生とのことです。ご利用のチームは、ご注意ください。なお、2024/04/22 の「GitLab にも GitHub スタイルの コメント悪用の問題:マルウェアのホスティングが容易になる」という、とても気になる問題もありますので、よろしければ GitLab で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.