4月23日: サイバーセキュリティ関連ニュース
GitHub同様のCDNの欠陥がGitLabにも存在、マルウェア配布に悪用される恐れ
BleepingComputer – April 22, 2024
GitHubのコメント機能における「欠陥」あるいは設計上の決定によって、一見信頼に足るファイルに見えるマルウェアダウンロードURLを生成できるようになっていることが先日明らかになったが、これと同様の問題が、GitLabにも存在することがわかったという。BleepingComputerが報告した。
20日に報じられていたGitHubの「欠陥」は、何らかのプロジェクトへのコメントにファイルを添付すると、自動でファイルのダウンロードリンクが生成される点に関するもの。添付されたファイルはGitHubのCDNにアップロードされ、以下のフォーマットでURLが生成される:
https://www.github.com/{プロジェクトのユーザー}/{リポジトリ名}/files/{ファイルのID}/{ファイル名}
例えば実際にマルウェアをホストするのに使われていることが判明したURLには、以下のようなものがあった:
https[:]//github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
このようにURLだけに着目すると、ファイルは正規のリポジトリに紐づいた信頼に足るもののように見える。このため説得力あるルアーの作成が可能であるほか、コメントが投稿されずに下書きのまま終わろうと、投稿後に削除されようとファイルはCDN内に残るため、一度生成されたリンクは永遠に利用できる点も脅威アクターにとっては好都合となっている。
しかしこの「欠陥」はGitLabにも影響を与えていると読者から指摘されたことを受け、BleepingComputerはテストを実施。すると、確かにGitLabにおいても同様のやり方でコメント機能を悪用可能であることが確認できたという。GitLabでは、コメントにファイルを添付するとファイルはCDNへアップロードされ、以下のフォーマットでダウンロードリンクが作られる:
https://gitlab.com/{プロジェクトグループ名}/{リポジトリ名}/uploads/{ファイルID}/{ファイル名}
BleepingComputerは、無害なJPG画像のファイル名を「.exe」に変更してコメントに添付するというテストを実施。すると以下のように、InkscapeやWiresharkといった人気オープンソースプロジェクトのリポジトリに実際に関連しているかのように見えるURLを作り出すことに成功したという:
https://gitlab[.]com/inkscape/inkscape/uploads/edfdbc997689255568a7c81db3f3dc51/InkScape-2024-Latest.exe
https://gitlab[.]com/wireshark/wireshark/uploads/b4162053fbb4dc6ee4f673c532009e16/WireShark-v4.2.4-stable-release.exe
さらに、GitLabにおいてもGitHubの場合と同様、コメントが投稿されなくても、また投稿後に削除されたとしても、添付ファイルのリンクは永続的に有効のままになるという。
なおBleepingComputerはこの件についてGitLabにコメントを求めており、現在返答待ち中とのこと。