GitLab: Critical bug lets attackers run pipelines as other users
2024/07/10 BleepingComputer — 7月10日に GitLab CE/EE のパッチがリリースされ、6つの脆弱性が修正された。GitLab DevSecOps プラットフォームは、3,000万人以上の登録ユーザーを誇り、T-Mobile/Goldman Sachs/Airbus/Lockheed Martin/Nvidia/UBS などの Fortune 100 の 50%以上で利用されている。修正された脆弱性のうち、最も深刻度が高いものは、攻撃者がユーザーとしてパイプライン・ジョブを実行できる、脆弱性 CVE-2024-6385 (CVSS:9.6) である。
この脆弱性 CVE-2024-6385 は、GitLab CE/EE のバージョン 15.8〜16.11.6/17.0〜17.0.4/17.1〜17.1.2 に影響を及ぼす。現時点において、GitLab からは公表されていないが、この脆弱性の悪用に成功した攻撃者は、特定の状況下において、任意のユーザーとして新しいパイプラインを起動できる。
GitLab パイプラインは、CI/CD (Continuous Integration/Continuous Deployment) システムの機能であり、コードの変更をビルド/テスト/デプロイするためのプロセス/タスクを、並列的/逐次的に自動実行できる。
すでに GitLab は、GitLab CE/EE の 17.1.2/17.0.4/16.11.6 をリリースし、この重大なセキュリティ欠陥に対処している。そして、すべての管理者に対して、直ちにアップグレードするよう求めている。
GitLab はアドバイザリで、「この脆弱性の影響を受けるバージョンを実行している場合には、可能な限り早急に、最新バージョンへとアップグレードすることを強く推奨する。なお、GitLab.com と GitLab Dedicated は、すでにパッチが適用されたバージョンを実行している」と述べている。
アカウント乗っ取りの欠陥が攻撃で活発に悪用される
6月下旬にも GitLab は、悪用に成功した攻撃者に対して、他のユーザーとしてのパイプラインの実行をゆるす、同様の脆弱性 CVE-2024-5655 にパッチを適用している。さらに、その1カ月前には、認証されていない攻撃者にアカウントの乗っ取りをゆるす、深刻度の高い XSS (cross-site scripting) の脆弱性 CVE-2024-4835 を修正している。
また、CISA が 5月に警告しているように、2024年1月に修正された GitLab のゼロクリックの脆弱性 CVE-2023-7028 も、攻撃者は積極的に悪用している。この脆弱性の悪用に成功した、認証されていない攻撃者は、パスワードのリセットを介して、アカウントの乗っ取りが可能になる。
Shadowserver は、2024年1月の時点で、5,300 件以上の脆弱な GitLab インスタンスがオンラインで公開されていることを発見したが、現在でも、 1,795件が到達可能だとしている。
攻撃者が GitLab を標的にするのは、API キーや独自コードなどの、ユーザー企業における各種の機密データがホストされているためであり、それらが侵害されると、セキュリティに重大な影響が及ぶ可能性が生じる。
この種の攻撃には、攻撃者が CI/CD 環境に悪意のコードを挿入し、侵害した組織のリポジトリを危険にさらす、サプライチェーン攻撃も含まれる。
文中でも紹介されているように、GitLab のユーザーには、世界の名だたる大手が名前を連ねています。したがって、GitLab が侵害され、パイプラインが悪用されると、かなりの広範囲に影響が及ぶことになります。ご利用のチームは、ご注意ください。なお、直近の GitLab 脆弱性については、2024/06/26 の「GitLab の緊急アップデート:脆弱性 CVE-2024-5655 (CVSS 9.6) などが FIX」で紹介されています。よろしければ、GitLab で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.