「GitLabの脆弱性」の悪用が判明 “第三者によるパスワード変更”が可能に：世界中で“パッチ未適用”状態

OSSの開発支援ツール「GitLab」に見つかった脆弱性が攻撃活動に悪用されていると、米国の政府機関は警鐘を鳴らした。脆弱性の特性と、その影響範囲は。

[Alex Scroxton，TechTarget]

　オープンソースソフトウェア（OSS）の開発支援ツール「GitLab」の脆弱（ぜいじゃく）性「CVE-2023-7028」が2024年1月に見つかっていた。これに関して、米国のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は脆弱性の悪用を確認したとして、GitLabのユーザー企業にパッチ（修正プログラム）の適用を推奨している。CVE-2023-7028を悪用する手口と、影響を受けるGitLabのバージョンなどをまとめた。

パスワード変更が可能に？　悪用された「GitLabの脆弱性」はなぜ危険か

併せて読みたいお薦め記事

企業が取るべき脆弱性対策とは

• 新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由
• Outlookで発見された「ゼロクリック攻撃」につながる脆弱性とは

　CVE-2023-7028は、GitLabのパスワードリセット機能の脆弱性だ。GitLabのOSSコミュニティー向け版「Community Edition」（CE）と企業向け版「Enterprise Edition」（EE）に存在する。攻撃者はこの脆弱性を悪用して、GitLabユーザーのアカウントのパスワードを再設定し、不正アクセスすることが可能になる。

　CISAは、CVE-2023-7028のパッチを適用するよう2024年5月に警鐘を鳴らした。CISAはこの脆弱性を悪用した攻撃について複数の報告を受けているという。ランサムウェア（身代金要求型マルウェア）攻撃に使われたかどうかは本稿執筆時点で不明だという。CVE-2023-7028が影響を与えるGitLab（CEとEE）のバージョンは以下の通りだ。

• 16.1.6より前の16.1系バージョン
• 16.2.9より前の16.2系バージョン
• 16.3.7より前の16.3系バージョン
• 16.4.5より前の16.4系バージョン
• 16.5.6より前の16.5系バージョン
• 16.6.4より前の16.6系バージョン
• 16.7.2より前の16.7系バージョン

　GitLab社はユーザー企業に対し、パッチ適用に加え、GitLabアカウントにアクセスする際の多要素認証（MFA）ツールの利用を推奨する。同社によると、他にもGitLabに保存されている認証情報やアプリケーションプログラミングインタフェース（API）トークン、セキュリティ証明書といった情報を全て更新した方がいい。

　英国の元サイバー犯罪捜査員で、セキュリティベンダーCyberSmartのセキュリティコンサルタントを務めるアダム・ピルトン氏はCVE-2023-7028の危険性を強調する。「悪用されれば広範囲にわたる影響を及ぼす恐れがあり、被害組織のビジネスに深刻な被害を与えかねない」と述べる。同氏はGitLab社と同様、CVE-2023-7028を悪用した攻撃に対抗するためのツールとしてMFAが有効だと説明する。

　CVE-2023-7028のパッチは2024年1月に公開されているが、NPO法人Shadowserverによればパッチの適用はあまり進まなかったという。Shadowserverが2024年5月1日に集計したデータによると、パッチ未適用の件数は米国・中国・ロシアでそれぞれ300件以上、ドイツで約250件、フランスで約80件、英国で約40件だった。セキュリティベンダーHackuity戦略担当バイスプレジデントのシルバン・コルテス氏は、「CVE-2023-7028のような危険な脆弱性はパッチが公開されたらすぐに適用することが非常に大切だ」と語る。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。