JetBrains のトークン漏えいの脆弱性 CVE-2024-37051:PoC が公開された

CVE-2024-37051: Critical JetBrains Flaw Exposes GitHub Tokens in IntelliJ IDEs, PoC Published

2024/06/12 SecurityOnline — IDE (IntelliJ integrated development) アプリである、IntelliJ に存在する脆弱性 CVE-2024-37051 (CVSS:9.3) の詳細情報と PoC (Proof-of-Concept) エクスプロイト・コードが公開された。この脆弱性は GitHub のアクセス・トークンを流出させる可能性を持ち、JetBrains GitHub プラグインが有効化されている、バージョン 2023.1 以降の全ての IntelliJ ベースの IDE に影響するものだ。


脆弱性 CVE-2024-37051 は、2024年5月29日に外部のセキュリティ研究者から、 JetBrains へ報告された。この脆弱性は、GitHub のプル・リクエストに含まれる悪意のコンテンツが IntelliJ ベースの IDE で処理される際に、サードパーティのホストへ向けてアクセス・トークンが漏えいする可能性を持つものだと、JetBrains の Security Support Team Lead である Ilya Pleskunin は説明している。これらのトークンの漏えいにより、攻撃者に GitHub アカウントへの不正アクセスが許され、コード改ざんやデータ盗難などの深刻なリスクが生じる。

先日に、セキュリティ研究者の LeadroyaL が、この脆弱性 CVE-2024-37051 の技術的詳細PoC エクスプロイト・コードを公開した。

JetBrains の複数の製品に、この脆弱性が存在することは、同社により確認されている。影響を受ける IDE は以下の通りだ:

  • Aqua:2024.1.2
  • CLion:2023.1.7/2023.2.4/2023.3.5/2024.1.3/2024.2 EAP2
  • DataGrip:2024.1.4
  • DataSpell:2023.1.6/2023.2.7/2023.3.6/2024.1.2
  • GoLand:2023.1.6/2023.2.7/2023.3.7/2024.1.3/2024.2 EAP3
  • IntelliJ IDEA:2023.1.7/2023.2.7/2023.3.7/2024.1.3/2024.2 EAP3
  • MPS:2023.2.1/2023.3.1/2024.1 EAP2
  • PhpStorm:2023.1.6/2023.2.6/2023.3.7/2024.1.3/2024.2 EAP3
  • PyCharm:2023.1.6/2023.2.7/2023.3.6/2024.1.3/2024.2 EAP2
  • Rider:2023.1.7/2023.2.5/2023.3.6/2024.1.3
  • RubyMine:2023.1.7/2023.2.7/2023.3.7/2024.1.3/2024.2 EAP4
  • RustRover:2024.1.1
  • WebStorm:2023.1.6/2023.2.7/2023.3.7/2024.1.4

すでに JetBrains は、影響を受ける IDE のセキュリティ・アップデートをリリースし、この脆弱性に対処している。さらに同社は、脆弱性のある JetBrains GitHub プラグインにパッチを適用し、以前に影響を受けた全てのバージョンを、公式プラグイン・マーケットプレイスから削除した。ユーザーに強く求められるのは、最新版への迅速なアップデートである。

さらに同社は、リスクを軽減するために、下記の対策も推奨している:

  1. パッチの適用:影響を受ける IDE を、最新バージョンへと直ちにアップデートする。
  2. GitHubトークンの失効:IntelliJ IDE で GitHub プル・リクエスト機能を積極的に使用しているユーザーは、脆弱なプラグインで使用されている、すべての GitHub トークンを取り消す必要がある。このステップは、二要素認証が有効になっている場合でも、きわめて重要である。
  3. OAuthとの統合:プラグインが OAuth や Personal Access Token (PAT) と併用されていた場合には、 JetBrains IDE 統合アプリのアクセスを取り消し、IntelliJ IDEA GitHub 統合プラグイン・トークンを削除する。

この脆弱性の影響を最小限に抑えるために、 JetBrains と GitHub と共同で対策を講じている。そして、緩和措置のために、古いバージョンの IDE では、JetBrains GitHub プラグインが想定通りに機能しない可能性があるとしている。Git 操作を含む、すべてのプラグイン機能が、再設定が完了するまで機能しなくなる。したがって、ユーザーにとって必要なことは、トークンを失効させた後のプラグインの再設定となる。

JetBrains のトークン漏えいの脆弱性 CVE-2024-37051 に対して、PoC エクスプロイトが公開されました。この脆弱性ですが、2024/06/11 の「JetBrains の脆弱性 CVE-2024-37051 が FIX:IDE ユーザーの GitHub アクセス・トークンが漏洩の恐れ」が第一報となります。PoC が提供されたことで、緊急性が高まっています。ご利用のチームは、アップデートをお急ぎください。よろしければ、JetBrains で検索も、ご利用ください。