JetBrains の脆弱性 CVE-2024-37051 が FIX:IDE ユーザーの GitHub アクセストークンが漏洩の恐れ

Users of JetBrains IDEs at risk of GitHub access token compromise (CVE-2024-37051)

2024/06/11 HelpNetSecurity —- GitHub のアクセス・トークン侵害により、JetBrains IDE (integrated development environments) のユーザーが危険に晒される可能性のある、深刻な脆弱性 CVE-2024-37051 が修正された。JetBrains は、各種のプログラミング言語用の、IDE を提供しているベンダーである。

脆弱性 CVE-2024-37051 について

オープンソース・プラットフォームである IntelliJ 上の、JetBrains GitHub プラグインに脆弱性 CVE-2024-37051 は存在する。IntelliJ のバージョン 2023.1 以降をベースとする IDE のうち、このプラグインが有効化され、設定/使用されている全ての IDE に、この脆弱性は影響を及ぼす。


JetBrains Security Support Team のリーダーである Ilya Pleskunin は、「2024年5月29日の時点で、IDE 内のプル・リクエストへの影響が懸念される脆弱性について、外部からセキュリティ・レポートを受け取った。それは、IntelliJ ベースの IDE で処理される、GitHub プロジェクトへのプル・リクエストの一部に悪意のコンテンツが含まれるケースで、アクセス・トークンがサードパーティのホストへと公開されるというものだった」と詳述している。

これらのトークンを悪用する攻撃者は、ユーザーの GitHub アカウントやリポジトリに不正にアクセスし、悪意のコードを配置し、リポジトリを削除する可能性を持つという。

修正プログラム

この脆弱性は、以下の IDE において修正されている: Aqua/CLion/DataGrip/DataSpell/GoLand/IntelliJ IDEA/MPS/PhpStorm/PyCharm/Rider/RubyMine/RustRover/WebStorm。

Pleskunin は、「JetBrains の GitHub プラグインも修正され、以前に影響を受けたバージョンは JetBrains Marketplace から削除された」と述べている。

彼がユーザーに推奨するのは、IDE を最新バージョンへとアップデートすることである。また、GitHub のプル・リクエスト機能を利用しているユーザーは、以下の手順も必要となる:

  • プラグインで使用されている GitHub のアクセス・トークンを取り消す。
  • JetBrains IDE Integration アプリケーションのアクセス権を取り消す。
  • プラグイン用に発行されたトークンを削除する。

Google の AndroidOS の公式 IDE である、IntelliJ ベースの Android Studio のユーザーも、バージョン v2023.3.1.20 (2023.3.1 Patch 2) へとアップグレードし、同様にトークンを無効化する必要がある。

JetBrains の担当者は、「この脆弱性が発見/公開される前に、攻撃者が積極的に悪用したという証拠は確認されていない。悪用のリスクを最小限にするため、ユーザーに推奨されるセキュリティ・アップデートの速やかなを適用である」と、Help Net Security に対して述べている。

さらに JetBrains は、GitHubトークンは通常の認証クレデンシャルとして機能し、さらなる認証ステップを必要とせずに、GitHub リソースへのアクセスを可能にすると指摘している。

同社は、「つまり、攻撃者が有効なトークンを入手した場合には、そのアカウントで MFA が有効になっているかどうかに関係なく、GitHub アカウントのリソースにアクセスするために、そのトークンを使用できる。IDE の GitHub プル・リクエスト機能を積極的に使用している場合には、プラグインが使用している GitHub トークンを全て取り消すことを強く推奨する。トークンを無効化した後は、Git 操作を含む、プラグインの全ての機能が無効になるため、プラグインを再度セットアップする必要があることに注意してほしい」と述べている。

JetBrains の脆弱性 CVE-2024-37051 が FIX とのことですが、IntelliJ というプラットフォームに発生したバグらしく、10種類以上の IDE で影響が生じるようです。こんなにたくさんの IDE を、JetBrains が提供しているとは、想像もしていませんでした。よろしければ、JetBrains で検索も、ご利用ください。