GoCD Patches Critical Vulnerability Allowing User Privilege Escalation
2025/01/05 securityonline — OSS の CI/CD プラットフォームである GoCD に、深刻な脆弱性 CVE-2024-56320 (CVSS 9.4) が発見された。この脆弱性の悪用に成功した攻撃者は、特権を管理者レベルに昇格させる可能性を得る。この脆弱性は GoCD のバージョン 24.5.0 未満に存在するが、すでに修正されている。脆弱性 CVE-2024-56320 の原因は、管理者用の “Configuration XML” UI 機能および、関連 API アクセスにおける不適切な認証にある。この脆弱性の悪用に成功した攻撃者は、機密情報への不正アクセスを達成し、GoCD システム全体を完全に制御する可能性を手にする。
公式のセキュリティ勧告には、「この脆弱性は、悪意の内部関係者または既存の認証済み GoCD ユーザーにより、悪用される可能性がある。それらの脅威アクターたちは、GoCD 管理者だけにアクセスが制限される情報の窃取や、GoCD 管理者への永続的な権限昇格を達成し得る」と記されている。
GoCD プロジェクトは、「この脆弱性の悪用の前提として、認証/ログインが必要になる」と主張している。
推奨される対応策
ユーザーに対して推奨されるのは、この脆弱性を修正するパッチが適用された、GoCD バージョン 24.5.0 へと速やかにアップデートすることだ。
アップデートが難しいユーザーに対して、GoCD が推奨する一時的な緩和策は、以下の通りである:
- 脆弱なパスへのアクセスをブロックする:リバース・プロキシや WAF (web application firewall) などのセキュリティ・メカニズムを利用して、/go/rails/ 接頭辞を持つパスへの、外部からのアクセスをブロックする。GoCD のアドバイザリは、「このルートをブロックしても、機能上の損失は発生しない」と保証している。
- ユーザー・ベースを縮小する:GoCD へのアクセスを、信頼できるユーザーの小グループに限定する。そのためには、制限付きの匿名アクセスを可能にする “guest-login-plugin“ などのプラグインを、一時的に無効化する必要が生じるかもしれない。
GoCD のユーザー組織に求められるのは、ただちに措置を講じ、CI/CD パイプラインを潜在的な侵害から保護することである。
CI/CD パイプラインが侵害されると、計りしれない影響が生じます。ご利用のチームは、十分に ご注意ください。よろしければ、CI/CD で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.