Shodan を通じてこの脆弱性を発見したセキュリティ研究者によると、GE Aviation は、誤って設定された Jenkins インスタンス上の大量の秘密鍵を公開し、パブリックインターネットに公開することに成功したという。
「GEアビエーションの社内商用インフラの一部と思われるジェンキンス・サーバーに偶然出会うのに、ほんの数回クリックしただけだ」と、コンサルタント会社セキュリティー・ディスカバリーの研究員ボブ・ディアチェンコ氏はブログに書いている。
ディアチェンコ氏が発見した情報によると、同氏はGEアビエーションの顧客ポータルを支えるバックエンドリポジトリに侵入していたようだ。同氏によると、サーバーには「ソースコード、平文のパスワード、設定の詳細、GEアビエーションの様々な社内インフラの秘密鍵などが含まれていた」という。
この情報の大部分の鍵となる部分は、readme ファイルに含まれていました。その一部には、次のように書かれています。「このリポジトリには、Chef を通じて管理される、アプリケーション固有ではなく、サーバーとアプリケーション間で共有されるすべての構成が含まれています。このリポジトリ内のすべての構成は、セキュリティ上機密である可能性があるため、このリポジトリは非公開であり、この構成コードのすべてのフォークは非公開にする必要があります。」
ちょっと待ってください: Veeam データベース構成の不具合により、数百万件の顧客レコードが漏洩
続きを読む
DNSの設定ミスによりリポジトリサーバーが露出した。ディアチェンコ氏はGEにその旨を伝え、同社が2時間以内に対応した後、当該インスタンスは当日中にインターネット上から消滅した。
GEアビエーションは、ボーイング747や同社の787ドリームライナーなど、世界中の多くの旅客機に搭載されるエンジンを製造しています。世界中で約4万人の従業員を擁し、フランスのSNECMAとの合弁事業で製造される、広く使用されているCF6およびCFM56シリーズを含む2万5000基のエンジンをサポートしています。
同社はThe Registerのコメント要請には応じていないが、ディアチェンコ氏に対して「プレーンテキストのユーザー名とパスワードがこのサーバー上で公開されていたが、これらの認証情報は当社の内部ネットワークからのみアクセス可能なアプリケーションにマッピングされていた」と認めた。
GEアビエーションは、顧客データや「重要な」GEデータは影響を受けていないと付け加え、悪意のある人物がそれらを悪用するには同社の内部環境にアクセスする必要があると述べたが、いずれにしても「予防措置として」すべての認証情報をリセットしたという。
「他社への推奨は、同様の事態を避けるため、静的DNSマッピングを定期的に監査し、不要になったマッピングを削除することです」とGEアビエーションはディアチェンコ氏に語った。
この研究者は、Veeam による誤った設定による大失態で数百万件もの顧客の記録が漏洩した事件など、長年にわたって不適切に保護されたデータの数々の発見に貢献してきました。®
