Last Updated on 2024-07-10 22:56 by admin

国家安全保障局（NSA）が開発したオープンソースの従業員トレーニングプラットフォーム「SkillTree」に、クロスサイトリクエストフォージェリ（CSRF）の脆弱性が見つかった。この問題は、2020年にGitHubで公開されたSkillTreeのいくつかのエンドポイントで使用されている脆弱なコンテンツタイプにより、管理者レベルのユーザーが悪意のあるリンクをクリックすることで、オンラインレッスンに関連するビデオ、キャプション、テキストを操作される可能性があった。攻撃者は、対象となるSkillTreeのスキルとプロジェクト名を事前に知っている必要があり、この攻撃によってユーザーデータやシステムがさらに露出することはなかった。

この脆弱性はCVE-2024-39326として登録され、「中程度」の4.4 CVSSスコアが割り当てられた。NSAは2023年7月2日にこの問題に対する修正パッチを実装し、ウェブサイトの操作を避けるためにユーザーにデプロイを推奨している。

CSRF脆弱性は、開発段階で見過ごされがちであり、生産リリース前に捕捉するのが難しい。これは、アプリの正常な機能を中断させないため、また、CSRFは認証やセッションの設計問題から生じることが多いためである。しかし、現代のブラウザは、SameSiteクッキーや厳格なクロスオリジンリソース共有（CORS）ポリシーなどの制限とポリシーを使用して、サイトが自身を保護するのを助けている。

【ニュース解説】

国家安全保障局（NSA）が開発した従業員トレーニングプラットフォーム「SkillTree」に、クロスサイトリクエストフォージェリ（CSRF）の脆弱性が見つかりました。このプラットフォームは、ゲームのような要素を取り入れたオンライン教育ツールで、2020年にGitHubで公開されました。この脆弱性により、攻撃者は管理者レベルのユーザーを騙して悪意のあるリンクをクリックさせ、オンラインレッスンのビデオやテキストを不正に操作する可能性がありました。ただし、攻撃者は対象となるSkillTreeのスキルとプロジェクト名を事前に知っている必要があり、この攻撃によって他のユーザーデータやシステムが露出することはありませんでした。

CSRF脆弱性は、アプリケーションの正常な機能を妨げないため、また認証やセッションの設計問題から生じることが多いため、開発段階で見過ごされがちです。しかし、この種の脆弱性は、攻撃者がユーザーを騙して悪意のある操作を行わせることを可能にするため、重要なセキュリティリスクをもたらします。

現代のブラウザは、SameSiteクッキーや厳格なクロスオリジンリソース共有（CORS）ポリシーなどの制限とポリシーを使用して、この種の攻撃からサイトを保護するための措置を講じています。これらの措置は、アプリケーションとブラウザの間の責任の境界を曖昧にし、セキュリティを強化します。

この事例は、高度なセキュリティ機関であっても、ソフトウェア開発において脆弱性が発生する可能性があることを示しています。また、開発者やセキュリティチームが、CSRFのような基本的な脆弱性にも注意を払い、適切なセキュリティ対策を講じることの重要性を浮き彫りにしています。このような脆弱性の発見と修正は、ソフトウェアの安全性を保つために不可欠です。NSAが迅速に対応し、修正パッチをリリースしたことは、組織がセキュリティ問題に対してどのように行動すべきかの良い例となります。

from What's Bugging the NSA? A Vuln in Its 'SkillTree' Training Platform.