CVE-2024-6915 (CVSS 9.3): JFrog Artifactory Flaw Exposes Software Supply Chains to Cache Poisoning
2024/08/05 SecurityOnline — ソフトウェア・アーティファクト管理ソリューションを提供する JFrog が発表したのは、同社の Artifactory プラットフォームに存在する深刻な脆弱性に対するセキュリティ・アドバイザリである。この脆弱性 CVE-2024-6915 (CVSS 9.3) は、JFrog Artifactory の複数バージョンに影響を及ぼし、攻撃に成功した攻撃者に対して、アーティファクト・キャッシュの汚染を許してしまう。その結果として、それらのリポジトリからデプロイされたソフトウェアの完全性が損なわれる可能性が生じる。
キャッシュ・ポイズニングと ソフトウェア・サプライチェーン
キャッシュ・ポイズニングとは、ソフトウェアの成果物のキャッシュ・バージョンを脅威アクターが操作するという、巧妙な攻撃手法である。自動化されたシステムがリポジトリから成果物をフェッチする際に、それらを信頼する開発者は汚染されたバージョンを受け取り、その結果として、自身のソフトウェアに脆弱性やバックドアを取り入れてしまう。それにより、広範囲に及ぶアプリケーションが危険にさらされ、データ侵害やシステム乗っ取りにつながる可能性が生じる。
影響の範囲と修正の方法
脆弱性 CVE-2024-6915 は、JFrog Artifactory の幅広いバージョンに影響を及ぼすものであり、セルフホスト環境とクラウド環境が対象となる。
| Product | Affected Version | Patched Version |
|---|---|---|
| Artifactory | < 7.90.6 | 7.90.6 |
| Artifactory | < 7.84.20 | 7.84.20 |
| Artifactory | < 7.77.14 | 7.77.14 |
| Artifactory | < 7.71.23 | 7.71.23 |
| Artifactory | < 7.68.22 | 7.68.22 |
| Artifactory | < 7.63.22 | 7.63.22 |
| Artifactory | < 7.59.23 | 7.59.23 |
| Artifactory | < 7.55.18 | 7.55.18 |
セルフ・ホスティングの Artifactory ユーザーに推奨されるのは、JFrog から提供されるセキュリティ・パッチを直ちに適用することだ。その一方で、すでにクラウド・インスタンスは JFrog によりアップデートされているが、Edge ノードをオンプレミスに配備するハイブリッド・ユーザーの場合は、Edge インスタンスをアップグレードする必要がある。
すぐにアップグレードできない、セルフホスト・ユーザーもとっての一時的な緩和策として、JFrog が推奨しているのは、匿名アクセスの無効化もしくは、匿名アカウントのリモート・リポジトリにおける、デプロイ/キャッシュのパーミッション削除である。
この脆弱性を発見し、責任を持って開示してくれた GitHub Security Lab のMichael Stepankin (artploit) に対して、JFrog は謝意を示している。
JFrog に深刻な脆弱性が発生しましたとのことです。ご利用のチームは、ご注意ください。このブログでは、2023/03/07 の「JFrog Artifactory の複数の脆弱性が FIX:サプライチェーン保護のための迅速な行動とは?」依頼のことです。なお、JFrog について調べてみたら、「2008 年に Liquid Software の道を歩み始めたのは、企業におけるソフトウェア・アップデートの管理/リリースの方法を変革するという使命を掲げたからである。世界が期待しているのは、ソフトウェアが継続的かつ安全に、誰の邪魔もぜずに、しかもユーザーの介入なしにアップデートされることである。このハイパー・コネクテッド・エクスペリエンスは、End-to-End の DevOps プラットフォームと、バイナリ・セントリックな自動化によってのみ実現できる。それを念頭に置き、JFrog プラットフォームを開発し、継続的なアップデートを実現するための、DevOps/DevSecOps の新時代を切り開いた」と解説されていました。エンタープライズに特化した、リポジトリを提供している感じですね。
IoT OT Security News 
You must be logged in to post a comment.