GitLabは本日、同社製品のGitLab Community EditionとEnterprise Editionに重大な脆弱性があり、攻撃者が他のユーザーとしてパイプラインジョブを実行できることを警告した。
GitLab DevSecOpsプラットフォームは3000万人以上の登録ユーザーを持ち、T-Mobile、Goldman Sachs、Airbus、Lockheed Martin、Nvidia、UBSを含むFortune 100企業の50%以上で利用されている。
本日のセキュリティ・アップデートで修正された欠陥は、CVE-2024-6385として追跡され、CVSS基本スコアの重大度評価は10点満点中9.6点でした。
この欠陥は15.8から16.11.6、17.0から17.0.4、17.1から17.1.2までのすべてのGitLab CE/EEバージョンに影響します。GitLabがまだ公開していない特定の状況下で、攻撃者はこれを悪用して任意のユーザーとして新しいパイプラインを起動することができます。
GitLabパイプラインは継続的インテグレーション/継続的デプロイメント(CI/CD)システムの機能で、コードの変更をビルド、テスト、デプロイするためのプロセスやタスクを並列または逐次的に自動的に実行することができます。
同社はこの重大なセキュリティ上の欠陥に対処するため、GitLab CommunityとEnterpriseのバージョン17.1.2、17.0.4、16.11.6をリリースし、すべての管理者にすべてのインストールを直ちにアップグレードするよう勧告した。
「以下に説明する問題の影響を受けるバージョンを実行しているすべてのインストールを、できるだけ早く最新バージョンにアップグレードすることを強く推奨します」と警告している。”GitLab.comとGitLab Dedicatedは既にパッチが適用されたバージョンを実行しています。”
アカウント乗っ取りの欠陥、攻撃で活発に悪用
GitLabは6月下旬にほぼ同じ脆弱性(CVE-2024-5655として追跡されている)にパッチを当てており、これも悪用されて他のユーザーとしてパイプラインを実行される可能性がある。
その1カ月前には、クロスサイト・スクリプティング(XSS)攻撃で認証されていない脅威者がアカウントを乗っ取ることを可能にする深刻度の高い脆弱性(CVE-2024-4835)を修正した。
CISAが5月に警告したように、脅威者は1月に修正されたゼロクリックのGitLabの別の脆弱性(CVE-2023-7028)も積極的に悪用している。この脆弱性は、認証されていない攻撃者がパスワードのリセットを通じてアカウントを乗っ取ることを可能にする。
Shadowserverは、1月にオンラインで公開された5,300以上の脆弱なGitLabインスタンスを発見しましたが、現在もアクセス可能なのは半分以下の1,795です。
攻撃者がGitLabを狙う理由は、APIキーや専有コードなど、さまざまな種類の企業の機密データをホストしているためで、侵害されるとセキュリティに重大な影響が及ぶ。
脅威者がCI/CD(継続的インテグレーション/継続的デプロイメント)環境に悪意のあるコードを挿入し、侵害された組織のリポジトリを危険にさらす場合、これにはサプライチェーン攻撃も含まれます。
Comments