GoHarbor Issues Urgent Patch for Harbor Flaw Allowing Full Registry Compromise
2026/03/25 gbhackers — GoHarbor の Harbor コンテナ・レジストリに存在する深刻なセキュリティ脆弱性により、ユーザー組織は深刻なサプライチェーン攻撃のリスクにさらされている。この脆弱性 CVE-2026-4404 は、管理者が手動で変更しない限り有効な状態を維持する、ハードコードされたデフォルト認証情報に起因する。この設計上の問題により、認証情報が変更されない限り悪用され続けることになる。
Harbor はコンテナ・イメージの保存/署名/管理を担う、OCI 準拠のオープンソース・レジストリであり、クラウド・ネイティブ基盤において中核的な役割を果たすコンポーネントである。そのため、この認証の欠陥は CI/CD (Continuous Integration/Continuous Deployment) 環境全体を侵害する直接的な経路になる。
デフォルト・コンフィグの設定不備
初期セットアップ時において、Harbor は既知のパスワードを持つデフォルト管理者アカウントを生成する。そのため、インストール時にはコンフィグ・ファイル・ベースの認証情報が設定され、管理者が明示的にカスタム値を指定しない限り、そのまま適用される。最も懸念されるのは、デプロイ時や初回ログイン時に、パスワード変更が強制されない点である。
その結果として、セットアップ時に手動で対応しない環境は、きわめて脆弱な状態となる。CERT/CC によると、攻撃者は公開された Harbor インスタンスをスキャンし、既知のデフォルト認証情報を使用して容易に認証を突破できる。管理者権限でログインした攻撃者は、Harbor レジストリおよび関連するすべてのアーティファクトを完全に制御可能となる。
この権限により、攻撃者は既存のコンテナ・イメージの上書きや、開発環境への新たなアーティファクトの注入が可能になる。これらの侵害されたイメージを取得する下流システムも直ちにリスクにさらされ、接続された Kubernetes クラスター全体がサプライチェーン攻撃やリモート・コード実行 (RCE) の起点となってしまう。さらに攻撃者は、アーティファクトの直接コピーや、不正な外部レジストリへの自動レプリケーション設定により、機密性の高いコンテナ・イメージを外部へ持ち出すことも可能になる。
また、管理者権限を悪用する攻撃者は、永続的なアクセスを確立できる。具体的には、新規ユーザー作成/不正ロボット・アカウント生成/永続 API トークン発行などにより、長期的な侵入を維持する。さらに、管理者権限によりセキュリティ制御の無効化が可能であるため、検知および対応が困難となる。その結果として、脆弱性スキャンの無効化/署名検証の停止/ロール・ベース・アクセス・コントロール (RBAC) の改変などが可能となるため、攻撃者は自身の活動を隠蔽できる。
推奨される対策
セキュリティ・チームにとって必要なことは、直ちに Harbor の Web インターフェイスへログインし、デフォルト管理者パスワードを変更することである。新規導入時においては、インストール前にコンフィグ・ファイルで一意かつ強力なパスワードを設定することで、この問題を恒久的に解決できる。
すでに Harbor 開発チームは、根本的な対策として、ハードコードされたデフォルト・パスワードの廃止に取り組んでいる。今後の修正では、インストール時の認証情報のランダムな生成もしくは、パスワード設定を必須とする仕組みを導入により、この問題を解消する予定である。
今回の Harbor における脆弱性 CVE-2026-4404 は、初期設定時に用意されている管理者パスワードが固定されており、それがそのまま使い続けられてしまう設計上の不備が大きな原因となっています。本来であれば、セットアップの際や初回のログイン時にパスワードの変更を強制する仕組みが必要ですが、このプロセスが省略されていたため、外部から推測されやすい状態が放置されてしまいました。コンテナ・レジストリは開発の基盤となる重要な場所ですので、こうしたデフォルトの設定がそのまま通用してしまうことは、システム全体の安全性を揺るがす大きなリスクに繋がります。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.