GitHub Enterprise Serverに高リスクの深刻な認証バイパス脆弱性

GitHub Enterprise Server (GHES) で SAML シングルサインオン (オプションの暗号化アサーション付き) を使用している場合、認証バイパスの脆弱性が攻撃者に悪用され、SAML レスポンスを偽装してサイト管理者権限を設定・取得される可能性があります。これにより、攻撃者は事前の認証なしにインスタンスに不正アクセスできるようになります。

先日、GitHubは同社のエンタープライズ・サーバーに高リスクのセキュリティ脆弱性が発見されたことを発表した。 GitHub エンタープライズサーバー セキュリティ脆弱性の脅威を防ぐため、すべてのユーザーに直ちにアップデートすることを強く推奨する。

脆弱性の詳細

GitHub Enterprise Server (GHES) に認証の脆弱性が存在します。この問題は CVE-2024-4985(CVSSスコア: 10.0)の脆弱性が存在し、この脆弱性を悪用してSAMLレスポンスを偽造し、サイト管理者権限を持つユーザーを設定またはアクセスすることが可能です。この脆弱性は、3.13.0 より前のすべてのバージョンの GitHub Enterprise Server に影響し、バージョン 3.9.15, 3.10.12, 3.11.10, 3.12.4 で修正されています。この脆弱性を悪用すると、事前の認証なしにインスタンスに不正アクセスされる可能性があります。この脆弱性は ギットハブ・バグバウンティ プログラム・レポート

影響版

以下のバージョンのGitHub Enterprise Serverが影響を受けます:

バージョン 3.0 から 3.9 高リスクの脆弱性が存在すると、組織のコードベース、機密データ、配備環境が深刻なセキュリティリスクにさらされる可能性がある。

脆弱性の検証:

侵入テストツール(例:burpsuite)を開く。
ネットワーク接続要求を作成する。
GET "リクエストタイプを選択する。
GHESのURLを入力してください。
リクエストに偽の SAML アサーション・パラメータを追加する。偽の SAML アサーション・パラメータの例は、GitHub のドキュメントにあります。
GHESの回答を確認する。
応答の HTTP ステータス・コードが 200 の場合、偽造された SAML アサーション・パラメータを使用して、認証が正常にバイパスされたことになる。
レスポンスに異なるHTTPステータス・コードが含まれている場合、認証は正常にバイパスされていない。

https://your-ghes-instance.com
  。
     (サブジェクト確認データ)
      jdoe</。NameID
     (サブジェクト確認データ)
   (サブジェクト確認)
  
    urn:oasis:names:tc:SAML:2.0:methodName:passwordとする。
  </AuthnStatement
  <属性ステートメント
    アクメ株式会社</Attribute
    jdoe@acme.com
  </AttributeStatement
</アサーション

 

GitHub公式:

GitHubはこの脆弱性を修正する緊急セキュリティパッチをリリースした。同社は、影響を受けるバージョンを使用しているすべてのユーザーに対し、セキュリティを確保するためにできるだけ早く最新バージョンにアップグレードすることを強く推奨している。具体的なアップデート手順とパッチのダウンロードは、GitHub公式サイトのSecurity Bulletinページで確認できる。

セキュリティ・アップグレード

潜在的な攻撃からシステムを保護するために、次の手順をお勧めします: GitHub Enterprise Serverを最新バージョンにアップデートする。
https://docs.github.com/en/enterprise-server@3.10/admin/release-notes#3.10.12
https://docs.github.com/en/enterprise-server@3.11/admin/release-notes#3.11.10
https://docs.github.com/en/enterprise-server@3.12/admin/release-notes#3.12.4
https://docs.github.com/en/enterprise-server@3.9/admin/release-notes#3.9.15

更新がすぐに利用できない場合は、一時的な緩和策として、SAML 認証または暗号化アサーション 機能を無効にすることを検討する。

参照する:

https://github.com/absholi7ly/Bypass-authentication-GitHub-Enterprise-Server

https://nvd.nist.gov/vuln/detail/CVE-2024-4985

 

元記事はChief Security Officerによるもので、転載する場合は出典を明記してください:https://cncso.com/jp/githubのエンタープライズ・サーバーに致命的な欠陥

のように (2)
前の 2024年5月17日 午前7:00
2024年5月28日(金)午前8時28分