「GitLabの脆弱性」の悪用が判明 “第三者によるパスワード変更”が可能に世界中で“パッチ未適用”状態

OSSの開発支援ツール「GitLab」に見つかった脆弱性が攻撃活動に悪用されていると、米国の政府機関は警鐘を鳴らした。脆弱性の特性と、その影響範囲は。

2024年08月29日 07時00分 公開
[Alex ScroxtonTechTarget]

 オープンソースソフトウェア(OSS)の開発支援ツール「GitLab」の脆弱(ぜいじゃく)性「CVE-2023-7028」が2024年1月に見つかっていた。これに関して、米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は脆弱性の悪用を確認したとして、GitLabのユーザー企業にパッチ(修正プログラム)の適用を推奨している。CVE-2023-7028を悪用する手口と、影響を受けるGitLabのバージョンなどをまとめた。

パスワード変更が可能に? 悪用された「GitLabの脆弱性」はなぜ危険か

 CVE-2023-7028は、GitLabのパスワードリセット機能の脆弱性だ。GitLabのOSSコミュニティー向け版「Community Edition」(CE)と企業向け版「Enterprise Edition」(EE)に存在する。攻撃者はこの脆弱性を悪用して、GitLabユーザーのアカウントのパスワードを再設定し、不正アクセスすることが可能になる。

 CISAは、CVE-2023-7028のパッチを適用するよう2024年5月に警鐘を鳴らした。CISAはこの脆弱性を悪用した攻撃について複数の報告を受けているという。ランサムウェア(身代金要求型マルウェア)攻撃に使われたかどうかは本稿執筆時点で不明だという。CVE-2023-7028が影響を与えるGitLab(CEとEE)のバージョンは以下の通りだ。

  • 16.1.6より前の16.1系バージョン
  • 16.2.9より前の16.2系バージョン
  • 16.3.7より前の16.3系バージョン
  • 16.4.5より前の16.4系バージョン
  • 16.5.6より前の16.5系バージョン
  • 16.6.4より前の16.6系バージョン
  • 16.7.2より前の16.7系バージョン

 GitLab社はユーザー企業に対し、パッチ適用に加え、GitLabアカウントにアクセスする際の多要素認証(MFA)ツールの利用を推奨する。同社によると、他にもGitLabに保存されている認証情報やアプリケーションプログラミングインタフェース(API)トークン、セキュリティ証明書といった情報を全て更新した方がいい。

 英国の元サイバー犯罪捜査員で、セキュリティベンダーCyberSmartのセキュリティコンサルタントを務めるアダム・ピルトン氏はCVE-2023-7028の危険性を強調する。「悪用されれば広範囲にわたる影響を及ぼす恐れがあり、被害組織のビジネスに深刻な被害を与えかねない」と述べる。同氏はGitLab社と同様、CVE-2023-7028を悪用した攻撃に対抗するためのツールとしてMFAが有効だと説明する。

 CVE-2023-7028のパッチは2024年1月に公開されているが、NPO法人Shadowserverによればパッチの適用はあまり進まなかったという。Shadowserverが2024年5月1日に集計したデータによると、パッチ未適用の件数は米国・中国・ロシアでそれぞれ300件以上、ドイツで約250件、フランスで約80件、英国で約40件だった。セキュリティベンダーHackuity戦略担当バイスプレジデントのシルバン・コルテス氏は、「CVE-2023-7028のような危険な脆弱性はパッチが公開されたらすぐに適用することが非常に大切だ」と語る。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news037.jpg

Boseが新型イヤホンをアクセサリーに CMOが語る「オシャレ推しに転じた理由」は?
2024年2月にオープンイヤー型のイヤホン「Bose Ultra Open Earbuds」を発売したBose。従...

news005.jpg

「コミュニティー」の正解はオフライン? オンライン? トレジャーデータがコロナ禍で学んだこと
Treasure Data CDPユーザーが主体となって活動するコミュニティー「Treasure Data Rockst...

news170.jpg

ニトリやサツドラも導入 自社ECで「Amazonのようなビジネス」を実現するサービスの魅力
オンラインマーケットプレイス構築を支援するMiraklが日本で初のイベントを開催し、新た...