innovaTopia

Tech for Human Evolution

Gogsのセキュリティ欠陥露呈、ソースコード盗難の危機に警鐘

Gogsのセキュリティ欠陥露呈、ソースコード盗難の危機に警鐘 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-08 21:04 by admin

GogsのオープンソースGitサービスにおいて、認証された攻撃者が脆弱なインスタンスを侵害し、ソースコードを盗んだり消去したり、バックドアを植え付ける可能性を持つ4つの未修正のセキュリティ欠陥が公開された。これらの脆弱性はSonarSourceの研究者によって明らかにされ、以下の通りである。

– CVE-2024-39930 (CVSSスコア: 9.9):組み込みSSHサーバーにおける引数注入
– CVE-2024-39931 (CVSSスコア: 9.9):内部ファイルの削除
– CVE-2024-39932 (CVSSスコア: 9.9):変更プレビュー時の引数注入
– CVE-2024-39933 (CVSSスコア: 7.7):新規リリースのタグ付け時の引数注入

最初の3つの脆弱性の成功した悪用は、攻撃者がGogsサーバー上で任意のコマンドを実行することを可能にし、4番目の欠陥は攻撃者がソースコードや設定の秘密など任意のファイルを読むことを可能にする。これらの問題を悪用することで、脅威アクターはインスタンス上のソースコードを読む、任意のコードを変更する、すべてのコードを削除する、Gogsサーバーから到達可能な内部ホストを対象とする、他のユーザーになりすまし、より多くの権限を得ることができる。ただし、これらの脆弱性を悪用するには攻撃者が認証されている必要がある。

Shodanによると、約7,300のGogsインスタンスがインターネット上で公開されており、その約60%が中国に位置している。現時点では、これらの露出したサーバーのうち、前述の欠陥に脆弱なものがどれだけあるかは明らかではない。SonarSourceは、これらの問題が野生で悪用されているかどうかについての可視性を持っていないと述べた。プロジェクトのメンテナーは修正を実装せず、最初の報告を受け入れた後、コミュニケーションを停止した。更新がないため、ユーザーには組み込みSSHサーバーを無効にし、ユーザー登録をオフにして大規模な悪用を防ぐこと、またはGiteaに切り替えることが推奨される。SonarSourceはパッチをリリースしたが、広範囲にテストされていないと指摘している。

また、クラウドセキュリティ会社Aquaは、Gitベースのソースコード管理(SCM)システムから削除された後も、アクセストークンやパスワードなどの機密情報が恒久的に露出し続ける可能性があることを発見した。この問題は「ファントムシークレット」と呼ばれ、従来のスキャン方法では発見できず、特定の秘密が「git clone –mirror」やSCMプラットフォームのキャッシュビューを通じてのみアクセス可能であることから生じる。

【ニュース解説】

GogsのオープンソースGitサービスにおいて、認証された攻撃者が脆弱なインスタンスを侵害し、ソースコードを盗んだり消去したり、バックドアを植え付ける可能性を持つ4つの未修正のセキュリティ欠陥が公開されました。これらの脆弱性は、組み込みSSHサーバーにおける引数注入、内部ファイルの削除、変更プレビュー時の引数注入、新規リリースのタグ付け時の引数注入という形で存在し、いずれも高いリスクを持つことが指摘されています。

これらの脆弱性の存在は、ソフトウェアのセキュリティにおける重要な問題を浮き彫りにします。特に、オープンソースソフトウェアは世界中の多くの組織や個人に利用されているため、こうした脆弱性が悪用されると大きな影響を及ぼす可能性があります。攻撃者がこれらの脆弱性を悪用することで、機密情報の漏洩、ソースコードの改ざんや削除、さらにはバックドアの設置による長期的なアクセス確保など、さまざまなセキュリティインシデントが発生する恐れがあります。

この問題に対処するためには、Gogsのユーザーは組み込みSSHサーバーを無効にし、ユーザー登録をオフにするなどの対策を講じることが推奨されます。また、SonarSourceによってリリースされたパッチを適用することも一つの解決策ですが、このパッチが広範囲にわたってテストされていないため、その効果には不確実性が残ります。

さらに、このニュースはソフトウェア開発におけるセキュリティの重要性を再認識させるものです。開発者やプロジェクトのメンテナーは、セキュリティ脆弱性に対する報告を真摯に受け止め、迅速に対応することが求められます。また、オープンソースプロジェクトにおけるコミュニケーションの途絶は、セキュリティ問題の解決を遅らせる要因となり得るため、透明性のあるコミュニケーションを維持することが重要です。

最後に、Aquaによって発見された「ファントムシークレット」の問題は、ソースコード管理システムにおけるセキュリティの盲点を示しています。この問題は、削除されたはずの機密情報が特定の方法でアクセス可能であることを意味し、従来のスキャン方法では発見できない新たなリスクを提示しています。これは、セキュリティ対策の多層化と、新しい脅威に対する継続的な警戒が必要であることを示しています。

from Critical Unpatched Flaws Disclosed in Popular Gogs Open-Source Git Service.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Gogsのセキュリティ欠陥露呈、ソースコード盗難の危機に警鐘