Last Updated on 2024-07-15 05:29 by admin
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、GitLabのパスワードリセットに関する重大な脆弱性が野外で積極的に悪用されていると警告し、その脆弱性を既知の悪用された脆弱性(KEV)カタログに追加した。この脆弱性はCVE-2023-7028として追跡され、CVSSスコアは10.0である。この脆弱性を悪用すると、未確認のメールアドレスにパスワードリセットメールを送信し、アカウントの乗っ取りを容易にすることができる。GitLabはこの問題の詳細を今年の1月に公開し、2023年5月1日にバージョン16.1.0のコード変更の一部として導入されたと述べた。この脆弱性の成功した悪用は、GitLabユーザーアカウントの制御を敵に渡すだけでなく、機密情報や認証情報の盗難、さらにはソースコードリポジトリに悪意のあるコードを注入し、サプライチェーン攻撃を引き起こす可能性がある。クラウドセキュリティ会社Mitigaは最近の報告で、攻撃者がCI/CDパイプラインの設定にアクセスし、機密データや認証トークンなどの機密データを敵対者が管理するサーバーにリダイレクトするように設計された悪意のあるコードを埋め込む可能性があると述べた。この脆弱性はGitLabのバージョン16.5.6、16.6.4、および16.7.2で対処され、パッチはバージョン16.1.6、16.2.9、16.3.7、および16.4.5にもバックポートされた。CISAは、この脆弱性が実際の攻撃でどのように悪用されているかについての詳細はまだ提供していない。連邦機関は、ネットワークを保護するために2024年5月22日までに最新の修正を適用する必要がある。
【ニュース解説】
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、GitLabのパスワードリセット機能に関する重大な脆弱性が実際に悪用されていると警告しました。この脆弱性はCVE-2023-7028として識別され、最高レベルの危険度を示すCVSSスコア10.0を受けています。具体的には、この脆弱性を悪用することで、攻撃者は未確認のメールアドレスにパスワードリセットメールを送信し、結果としてユーザーアカウントの乗っ取りを容易にすることが可能になります。GitLabはこの問題を公表し、2023年5月1日にリリースされたバージョン16.1.0で導入されたコード変更が原因であると説明しています。
この脆弱性の悪用は、単にアカウントを乗っ取るだけでなく、機密情報や認証情報の盗難、ソースコードリポジトリへの悪意あるコードの注入など、さらに深刻なセキュリティ上のリスクを引き起こす可能性があります。例えば、攻撃者がCI/CDパイプラインの設定にアクセスし、悪意のあるコードを埋め込むことで、個人識別情報(PII)や認証トークンなどの機密データを不正に外部に送信することができます。これにより、データ盗難、コードの破壊、不正アクセス、サプライチェーン攻撃などが引き起こされる可能性があります。
GitLabはこの脆弱性に対処するために、複数のバージョンでパッチをリリースしました。これにより、影響を受けるバージョンを使用しているユーザーは、速やかにアップデートを行うことでリスクを軽減できます。CISAは、特に連邦機関に対して、ネットワークを保護するために指定された期限までに最新の修正を適用するよう要請しています。
この事例は、ソフトウェアのセキュリティがいかに重要であるかを改めて浮き彫りにします。開発者は、コード変更を行う際にセキュリティを最優先事項として考慮する必要があります。また、組織は定期的なセキュリティチェックとアップデートの適用を怠らず、二要素認証などの追加的なセキュリティ対策を導入することで、潜在的なリスクを最小限に抑えることができます。このような脆弱性の発見と迅速な対応は、サイバーセキュリティの継続的な取り組みの一環として非常に重要です。
from CISA Warns of Active Exploitation of Severe GitLab Password Reset Vulnerability.
