GitLab – IoT OT Security News

CISA KEV 警告 24/05/01：GitLab の脆弱性 CVE-2023-7028 を KEV に追加

CISA says GitLab account takeover bug is actively exploited in attacks

2024/05/01 BleepingComputer — 5月1日に CISA は、 GitLab の脆弱性 CVE-2023-7028 (CVSS：10.0) を KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性を積極的に悪用する攻撃者たちにより、パスワード・リセットとアカウントの乗っ取りが生じると、同組織は警告している。GitLab は、専有コードや API キーを含む機密データをホストしているため、アカウントが乗っ取りが生じると、深刻な事態に陥る可能性がある。この脆弱性の悪用に成功した攻撃者は、CI/CD (Continuous Integration/Continuous Deployment) 環境に悪意のコードを挿入し、リポジトリを侵害するサプライチェーン攻撃を実行する可能性がある。

GitLab の深刻な脆弱性が FIX：アカウントの乗っ取りにいたる可能性も

Urgent GitLab Update Patches Account Takeover Flaw, Other High-Severity Bugs

2024/04/24 SecurityOnline — 先日の GitLab セキュリティ・リリースで対処されたのは、広範なコード・リポジトリや開発ワークフローに影響を及ぼす可能性のある一連の脆弱性である。それらの脆弱性の悪用に成功した攻撃者は、リソース消耗によりサービス拒否から、完全なアカウント乗っ取りに至るまでの、さまざまな攻撃を引き起こす可能性を持つ。GitLab を利用している組織にとって、バージョン 16.11.1／16.10.4／16.9.6 へのアップグレードは必須である。

GitLab にも GitHub スタイルのコメント悪用の問題：マルウェアのホスティングが容易になる

GitLab affected by GitHub-style CDN flaw allowing malware hosting

2024/04/22 BleepingComputer — 先日に BleepingComputer は、GitHub の欠陥 (あるいは設計上の仕様) を悪用する脅威アクターが、Microsoft のリポジトリに関連付けられた URL を介して、信頼できるファイルを装いながら、マルウェアを配布していることを報告した。この問題は、GitLab に対しても影響を及ぼすものであり、同様の方法で悪用される可能性が生じることが判明した。このマルウェアに関連する活動の大半は、Microsoft GitHub の URL に基づくものだった。しかしこの “欠陥” は、GitHub や GitLab の、あらゆる公開リポジトリで悪用が可能であり、きわめて説得力のあるルアーを、脅威アクターたちは作成できるという。

GitLab の４件の脆弱性が FIX：XSS および Dos が発生する可能性

GitLab Races to Fix Critical XSS Flaws – Don’t Delay Your Upgrade

2024/04/10 SecurityOnline — コードコラボレーションとプロジェクト管理のための DevOps プラットフォームとして広く利用されている GitLab が、重要なセキュリティ・アップデートとして 16.10.2／16.9.4／16.8.6 をリリースした。このリリースで対処された複数の欠陥のうち、最も深刻なものは、蓄積型クロスサイトスクリプティング (XSS) の脆弱性である。これらの脆弱性の悪用に成功した攻撃者は、ユーザー・セッションの乗っ取りや、機密データの窃取を可能にし、さらには、標的システム内での攻撃のための足場を構築する可能性もあるという。

GitLab の脆弱性 CVE-2023-6371／CVE-2024-2818 が FIX：ただちにパッチを！

GitLab Patches Vulnerabilities, Users Urged to Update Immediately

2024/03/28 SecurityOnline — 人気の DevOps プラットフォームである GitLab において、 Git Management Software バージョン 16.10.1／16.9.3／16.8.5 用の重要なセキュリティ・アップデートがリリースされた。これらのパッチで対処された脆弱性は、悪意のコードの実行から、システムの停止にいたる攻撃を引き起こし、ユーザーを危険にさらす可能性を持つものだ。

GitLab の緊急アップデート：CVSS 9.9 の脆弱性 CVE-2024-0402 を FIX

URGENT: Upgrade GitLab – Critical Workspace Creation Flaw Allows File Overwrite

2024/01/30 TheHackerNews — GitLab は、Community Edition (CE)／Enterprise Edition (EE) に、深刻なセキュリティ上の欠陥があるとして、修正プログラムを再度リリースした。この問題とは、ワークスペース作成時に、任意のファイルを書き込まれる可能性が生じるものだ。この脆弱性 CVE-2024-0402 の深刻度は、CVSS：9.9 と評価されている。

GitLab の深刻な脆弱性 CVE-2023-7028：5,300 台のインスタンスが危険な状態

Over 5,300 GitLab servers exposed to zero-click account takeover attacks

2024/01/24 BleepingComputer — 2024年1月に発見された、GitLab のゼロクリック・アカウント乗っ取りの脆弱性 CVE-2023-7028 (CVSS：10.0) の脆弱性だが、インターネット上に公開されている 5,300 以上のインスタンスで放置されていることが判明した。この脆弱性の悪用に成功した攻撃者は、標的アカウントのパスワード再設定メールを自身が管理するメールアドレスに送信させ、パスワードを変更して対象のアカウントを乗っ取ることが可能になる。

GitLab の深刻な脆弱性 CVE-2023-7028／CVE-2023-5356 などが FIX：直ちにアップデートを！

CVE-2023-7028 & 5356: GitLab Addresses Account Takeover & Command Flaws

2024/01/11 SecurityOnline — 進化し続けるサイバー脅威の状況に対応するために、DevOps 分野で有名な GitLab が、先日に一連の重大な脆弱性を修正した。今回のアップデートで修正された脆弱性には、Critical なものとして CVE-2023-7028／CVE-2023-5356 があるが、その他にも３件の脆弱性が修正されている。

StripedFly という APT：５年間で 100万台以上の Windows／Linux システムに感染

StripedFly malware framework infects 1 million Windows, Linux hosts

2023/10/26 BleepingComputer — StripedFly と名付けられた洗練されたクロスプラットフォーム・マルウェアが、サイバー・セキュリティ研究者たちの検知を５年間にわたり回避し、100万台以上の Windows／Linux システムに感染しているという。2022年に Kaspersky は、この悪質なフレームワークの正体を突き止め、2017年から活動している証拠を発見した。アナリストたちは StripedFly の特徴について、洗練された TOR ベースのトラフィック隠蔽メカニズム、および、信頼できるプラットフォームからの自動アップデート、ワームのような拡散能力、脆弱性の公開前に作成されたカスタム EternalBlue SMBv1 エクスプロイトなどを列挙し、印象的なものであると述べている。

Culturestreak というクリプト・マイナー：GitLab Python に潜んでいる

‘Culturestreak’ Malware Lurks Inside GitLab Python Package

2023/09/20 DarkReading — 現在の脅威の状況において、あまりにも有りふれたことだが、新たな悪意のオープンソース・パッケージが、セキュリティ研究たちにより発見された。今回は、暗号通貨をマイニングするために、システム・リソースのハイジャックを試みる、GitLab 上のアクティブな Python ファイルである。この、Culturestreak と呼ばれる悪意のパッケージが、GitLab 開発者サイト上の Aldri Terakhir というユーザーのアクティブなリポジトリから発信されていることを、9月19日の Checkmarx ブログが明らかにした。

GitLab パイプラインの脆弱性 CVE-2023-5009：ハイリスク・シナリオの可能性

GitLab urges users to install security updates for critical pipeline flaw

2023/09/19 BleepingComputer — スケジュールされたセキュリティ・スキャン・ポリシーを悪用する攻撃者が、他のユーザーを装いながらパイプライン実行を可能にする、深刻な脆弱性に対処するセキュリティアップデートを、GitLab がリリースした。GitLab は、Web ベースの OSS プロジェクト管理および作業トラッキングのための、人気のプラットフォームであり、無料版と商用版を提供している。この脆弱性 CVE-2023-5009 (CVSS：9.6) は、GitLab Community Edition (CE)／Enterprise Edition (EE) の、バージョン 13.12〜16.2.7 と、バージョン 16.3〜16.3.4に影響を与える。

LABRAT というキャンペーン：GitLab の脆弱性 CVE-2021-22205 を悪用してシステムに侵入

Proxyjacking and Cryptomining Campaign Targets GitLab

2023/08/18 InfoSecurity — LABRAT と呼ばれる、金銭的な動機に基づく新たなオペレーションが、Sysdig のセキュリティ研究者たちにより発見された。このキャンペーンの目的は、クリプト・マイニングとプロキシ・ジャッキングで利益を得ることであり、様々なテクニックを使って身を潜めるように設計されている。プロキシ・ジャッキングとは、攻撃手法の１つであり、攻撃者が被害者のシステムを侵害して、不正な操作などを行うものだ。LABRAT のオペレーターは、既知の GitLab のリモート・コード実行の脆弱性 CVE-2021-22205 を悪用して、標的のコンテナを侵害していた。

GitLab の深刻な脆弱性 CVE-2023-2825：Ver 16.0.0 ユーザーは直ちにアップデートを！

GitLab ‘strongly recommends’ patching max severity flaw ASAP

2023/05/24 BleepingComputer — GitLab に存在する、深刻なパストラバーサルの脆弱性 CVE-2023-2825 (CVSS：10.0) の欠陥に対処するために、緊急セキュリティ・アップデートであるバージョン 16.0.1 がリリースされた。リモートでコードを管理する必要がある、開発者チーム向けの Web ベース Git リポジトリである GitLab は、約3000万人の登録ユーザーと100万人の有料顧客を有している。

SBOM エコシステムを CISA が推進：OSS の可視性を高めていく – ETIC 2023

ETIC 2023: CISA Developing SBOM Ecosystem for Open-Source Software Visibility

2023/05/08 FedTechMagazine — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・プログラミングの基礎であるライブラリ／バージョン／コンポーネントの可視性を高めるために、企業が公開する SBOM (Software Bill Of Materials) のエコシステムを推進している。ACT-IAC の Emerging Technology and Innovation Conference において、CISA の Technical Director for Cyber である Christopher Butera は、今後の SBOM ガイダンスが詳細なレベルで実現するためには、ベンダーからのフィードバックが必要だと述べている。

Google が発表した Assured OSS サービス：Java／Python エコシステムからサポートを開始

Google delivers secure open source software packages

2023/04/13 HelpNetSecurity — Google が発表したのは、セキュアなオープンソース・パッケージの信頼できるソースを目指す Google Cloud Assured Open Source Software (Assured OSS) サービスと、5000 万以上のオープンソース・パッケージ・バージョンのセキュリティ・メタデータへのアクセスを提供する deps.dev API である。この Assured OSS により、Google が使用するセキュリティ保護されている OSS パッケージと同じものを、開発者のワークフローに組み込む機会を、Google はユーザー組織に提供する。

GitLab の深刻な脆弱性 CVE-2022-41903／CVE-2022-23521 が FIX：RCE の可能性

Git patches two critical remote code execution security flaws

2023/01/17 BleepingComputer — GitLab が、２つの深刻なセキュリティ脆弱性に対してパッチを適用した。それらは、ヒープバッファ・オーバーフローに起因するものであり、悪用に成功した攻撃者に、任意のコード実行を許すものである。３つ目の Windows 固有の脆弱性は、信頼できない検索パスに起因するものであり、Git GUI ツールに影響を及ぼす。未認証の脅威者に対して、信頼できないコードを、容易に実行させる可能を持つ。最初の２つの脆弱性である CVE-2022-41903 (commit formatting mechanism) と、CVE-2022-23521 (gitattributes parser) に関しては、v2.30.7 によりパッチが適用されている。

GitLab の深刻な脆弱性 CVE-2022-2884 が FIX：認証済みの攻撃者による RCE

GitLab fixed a critical Remote Code Execution (RCE) bug in CE and EE releases

2022/08/23 SecurityAffairs — DevOps プラットフォームの GitLab は、GitLab Community Edition (CE) および Enterprise Edition (EE) に影響を及ぼす、深刻なリモートコード実行の脆弱性 CVE-2022-2884 (CVSS 9.9) を修正する、セキュリティ・アップデートをリリースした。攻撃者が認証されている場合には、GitHub の Import API を介して、この脆弱性の悪用が可能となる。

GitLab のアカウント乗っ取りの脆弱性 CVE-2022-1680 が FIX：速やかなアップデートを推奨

GitLab Issues Security Patch for Critical Account Takeover Vulnerability

2022/06/03 TheHackerNews — GitLab は、同社のサービスに存在する、アカウントを乗っ取りにいたる可能性のある、申告なセキュリティ欠陥に対処するための措置を講じた。この脆弱性 CVE-2022-1680 (CVSS：9.9) は、GitLab 内部で発見されたものであり、GitLab Enterprise Edition (EE) の 11.10〜14.9.5／14.10〜14.10.4／15.0〜15.0.1 の、すべてのバージョンに影響を及ぼるとされる。

GitLab に深刻なアカウント乗っ取りの脆弱性：管理者に推奨される対策とは？

Critical GitLab vulnerability lets attackers take over accounts

2022/04/01 BleepingComputer — GitLab は、ハードコードされたパスワードを使用するリモートの攻撃者に、ユーザー・アカウントの乗っ取りを許してしまう、深刻な脆弱性に対処した。この脆弱性 CVE-2022-1162 は、GitLab Community Edition (CE) と Enterprise Edition (EE) の双方に影響をおよぼす。具体的に言うと、GitLab CE/EE で OmniAuth ベースで登録を行う際の、誤って設定された静的なパスワードに起因している。

Microsoft が Lapsus$ ハッキングを認める：Bing などのソースコードにアクセス

Microsoft confirms they were hacked by Lapsus$ extortion group

2022/03/22 BleepingComputer — Microsoft は、同社の従業員１名のアカウントが Lapsus$ にハッキングされ、この脅威アクターによる、同社のソースコードの一部へのアクセス／窃取が生じたことを認めた。昨夜、Lapsus$ ランサムウェアは、Microsoft の Azure DevOps サーバーから盗み出した 37GB のソースコードを公開した。このソースコードは、Bing／Cortana／Bing Maps などの、同社の様々なプロジェクトに関わるものである。

Linux Polkit の深刻な脆弱性 CVE-2021-4034：PoC エクスプロイトが登場？

Linux system service bug gives root on all major distros, exploit released

2022/01/25 BleepingComputer — Polkit の pkexec コンポーネントには、脆弱性 CVE-2021-4034 が存在し、また、主要な Linux ディストリビューションのデフォルト設定に含まれているという。CVE-2021-4034 は PwnKit と名付けられ、その起源は 12年以上前の pkexec の最初のコミットまで追跡されており、すべての Polkit バージョンが影響を受けることになる。

OWASP Top-10 2021 Draft：Web アプリへの脅威をカテゴライズ

OWASP shakes up web app threat categories with release of draft Top 10

2021/09/09 DailySwig — Open Web Application Security Project (OWASP) は、2021年の Top-10 リストのドラフトを発表し、現代の脅威の分類方法を一新した。9月8日の発表で OWASPは、ピア・レビュー／コメント／翻訳・改善の提案を目的とする、Top 10 Web Application Security Threats for 2021 のドラフトを公開したと述べている。