米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、GitLabのコミュニティ版とエンタープライズ版の重大な脆弱性を修正するようすべての連邦機関に義務付けており、この脆弱性が「活発に悪用されている」ことを確認している。
CISA が既知の悪用された脆弱性 (KEV) リストに脆弱性を追加すると、通常、すべての連邦文民行政機関 (FCEB) 機関は、政府への有害な攻撃を防ぐために、最大 21 日以内に問題を修正することになります。
名前からある程度推測できますが、KEV リストに追加されたセキュリティ上の欠陥は、現在も悪用されていることが知られており、迅速な修正が必要であることを意味します。
CVE-2023-7028として追跡されているこの脆弱性は、1月にGitLabによって公開され、認定CVE採番機関(CNA)であるGitLab自身によって最大10の深刻度評価が付けられました。しかし、National Vulnerability Database(NVD)ではわずか7.5という評価でした。
GitLabは、この脆弱性が2023年5月から存在していたと報告していましたが、悪用された形跡はありませんでした。CISAのKEVに追加されたことで、この状況は変わりました。1月にパッチが適用されていなかった場合は、早急にパッチを適用してください。
この脆弱性は不適切なアクセス制御の欠陥として分類され、攻撃者にゼロクリックでアカウントを完全に乗っ取るルートを提供します。
2023 年 5 月 1 日にリリースされたバージョン 16.1.0 以降、ユーザーが別のメール アドレスを使用して GitLab アカウントのパスワードをリセットできる変更が導入され、検証プロセスのバグによって脆弱性が生じました。
特別に細工された HTTP リクエストにより、攻撃者が管理する未検証の電子メール アドレスにパスワード リセット リンクが送信され、不正なアカウント乗っ取りが可能になります。
GitLab のビジネスの性質を考えると、ここでの明らかな危険は、攻撃者が脆弱性を悪用してソフトウェア サプライ チェーン攻撃を実行し、ソース コードを密かに変更して無数の組織に侵入することです。
SolarWindsを擁するロシアと3CXを擁する北朝鮮は、近年サプライチェーン攻撃を積極的に行っている敵対国家の好例です。Kaseyaを擁するREvilやMOVEitを擁するCl0pといったランサムウェア集団も、ソースコードからソフトウェアを侵害することには慣れ親しんでいますが、CISAはGitLabの脆弱性に関連したランサムウェア関連の活動は今のところ確認していないと述べています。
- オープンソースプログラミング言語Rが、任意のコード実行の深刻な脆弱性を修正
- シスコのセキュリティボックスの欠陥を悪用する「洗練された」国家支援の攻撃者が発見され、各国政府が警告を発令
- 古い Windows 印刷スプーラーのバグがロシアの Fancy Bear ギャングの最新のターゲットに
- パロアルトネットワークスのゼロデイ脆弱性攻撃コードが公開される
結局のところ、GitLabで何らかの2要素認証(2FA)を有効にしている管理者は安全であり、この脆弱性の影響を受けません。もちろん、2FAは有効にしていますよね?
脆弱なバージョンは次のとおりです。
-
16.1から16.1.5
-
16.2から16.2.8
-
16.3から16.3.6
-
16.4から16.4.4
-
16.5から16.5.5
-
16.6から16.6.3
-
16.7から16.7.1
脆弱性の開示以降に脆弱な GitLab インスタンスの数を示す Shadowserver のデータ – クリックして拡大
Shadowserverのデータによると、脆弱性が公表されて以来、公開されているGitLabインスタンスの数は半減しています。現在、脆弱なGitLab環境は2,149件あり、1月の4,652件から減少しており、ヨーロッパとアジアに最も集中しています。
GitLab はバージョン 16.5.6、16.6.4、16.7.2 の脆弱性を修正し、バージョン 16.1.6、16.2.9、16.3.7、16.4.5 のパッチもバックポートしました。®
