OSSの開発支援ツール「GitLab」に見つかった脆弱性が攻撃活動に悪用されていると、米国の政府機関は警鐘を鳴らした。脆弱性の特性と、その影響範囲は。
オープンソースソフトウェア(OSS)の開発支援ツール「GitLab」の脆弱(ぜいじゃく)性「CVE-2023-7028」が2024年1月に見つかっていた。これに関して、米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は脆弱性の悪用を確認したとして、GitLabのユーザー企業にパッチ(修正プログラム)の適用を推奨している。CVE-2023-7028を悪用する手口と、影響を受けるGitLabのバージョンなどをまとめた。
CVE-2023-7028は、GitLabのパスワードリセット機能の脆弱性だ。GitLabのOSSコミュニティー向け版「Community Edition」(CE)と企業向け版「Enterprise Edition」(EE)に存在する。攻撃者はこの脆弱性を悪用して、GitLabユーザーのアカウントのパスワードを再設定し、不正アクセスすることが可能になる。
CISAは、CVE-2023-7028のパッチを適用するよう2024年5月に警鐘を鳴らした。CISAはこの脆弱性を悪用した攻撃について複数の報告を受けているという。ランサムウェア(身代金要求型マルウェア)攻撃に使われたかどうかは本稿執筆時点で不明だという。CVE-2023-7028が影響を与えるGitLab(CEとEE)のバージョンは以下の通りだ。
GitLab社はユーザー企業に対し、パッチ適用に加え、GitLabアカウントにアクセスする際の多要素認証(MFA)ツールの利用を推奨する。同社によると、他にもGitLabに保存されている認証情報やアプリケーションプログラミングインタフェース(API)トークン、セキュリティ証明書といった情報を全て更新した方がいい。
英国の元サイバー犯罪捜査員で、セキュリティベンダーCyberSmartのセキュリティコンサルタントを務めるアダム・ピルトン氏はCVE-2023-7028の危険性を強調する。「悪用されれば広範囲にわたる影響を及ぼす恐れがあり、被害組織のビジネスに深刻な被害を与えかねない」と述べる。同氏はGitLab社と同様、CVE-2023-7028を悪用した攻撃に対抗するためのツールとしてMFAが有効だと説明する。
CVE-2023-7028のパッチは2024年1月に公開されているが、NPO法人Shadowserverによればパッチの適用はあまり進まなかったという。Shadowserverが2024年5月1日に集計したデータによると、パッチ未適用の件数は米国・中国・ロシアでそれぞれ300件以上、ドイツで約250件、フランスで約80件、英国で約40件だった。セキュリティベンダーHackuity戦略担当バイスプレジデントのシルバン・コルテス氏は、「CVE-2023-7028のような危険な脆弱性はパッチが公開されたらすぐに適用することが非常に大切だ」と語る。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
