GitHub Enterprise Server vulnerable to critical auth bypass flaw

GitHub Enterprise Server の複数のバージョンに影響する重大な脆弱性が悪用され、認証をバイパスして攻撃者がマシンの管理者権限を取得できる可能性があります。

このセキュリティ問題はCVE-2024-6800として特定され、CVSS 4.0基準による深刻度は9.5です。この問題は、Security Assertion Markup Language (SAML)認証標準を特定のIDプロバイダで使用する際に発生するXML署名の折り返し問題として説明されています。

“公開されている署名付きフェデレーションメタデータ XML を利用して特定の IDP と SAML シングルサインオン (SSO) 認証を使用している GitHub Enterprise Server インスタンスでは、攻撃者が SAML レスポンスを偽造して、サイト管理者権限を持つユーザーアカウントをプロビジョニングしたり、ユーザーアカウントにアクセスしたりする可能性があります。”-GitHub

GitHub Enterprise Server (GHES)は、パブリッククラウドでの作業経験が不足していたり、アクセス制御やセキュリティ制御を管理したい企業向けのGitHubのローカル版だ。

パブリック・ウェブに公開されているネットワーク資産の検索エンジンFOFAによると、インターネット上でアクセス可能なGHESインスタンスは36,500以上あり、そのほとんど(29,200)は米国にある。

しかし、公開されているGHESマシンのうち、何台が脆弱なバージョンの製品を実行しているかは不明である。

Fofa scan results
インターネットに公開されたGHESインスタンスのFofaスキャン結果
Source

GitHubはGHESのバージョン3.13.33.12.83.11.143.10.16でこの問題に対処した。

新しいGHESリリースには、他にも2つの脆弱性の修正が含まれており、どちらも深刻度は中程度です:

  • CVE-2024-7711: 公開リポジトリ上のissueが攻撃者によって変更される可能性があります。
  • CVE-2024-6337: プライベートリポジトリのissueの内容の公開に関するものです。

3つのセキュリティ問題はすべて、HackerOneプラットフォーム上のGitHubのBug Bountyプログラムを通じて報告された。

GitHubは、セキュリティアップデートを適用した後、設定プロセス中にエラーが表示されるサービスがあるかもしれないが、インスタンスは正常に起動するはずだと警告している。

また、ログエントリ、メモリ使用量、特定の操作中のサービス中断に関する問題もいくつか報告されているため、システム管理者はアップデートを適用する前に「既知の問題」セクションを確認することが推奨される。