緊急警告：GitLabの重大脆弱性CVE-2021-22205が攻撃で悪用される – CISAが対策指示

CISAがGitLabの重大脆弱性に関する緊急指令を発表

米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、連邦機関に対し、**GitLabの5年前の重大な脆弱性（CVE-2021-22205）**を修正するよう緊急指令を発令しました。この脆弱性は現在も攻撃で積極的に悪用されており、認証なしでのリモートコード実行（RCE）が可能なため、未修正のシステムに深刻なリスクをもたらしています。

CVE-2021-22205の技術的詳細

• CVE ID: CVE-2021-22205
• CVSSスコア: 10.0（Critical）
• 影響を受けるバージョン: GitLab Community Edition（CE）およびEnterprise Edition（EE）のバージョン11.9から13.10.3
• 脆弱性の種類: GitLabのExifToolコンポーネントにおける不適切な入力検証。これにより、認証なしのRCEが可能
• 攻撃ベクトル: 攻撃者は悪意のある画像ファイルをアップロードすることで、認証なしに任意のコードを実行可能

この脆弱性は2021年4月に初めて公開されましたが、企業環境でのパッチ適用の遅れにより、依然として脅威が続いています。CISAの指令は、政府機関や民間企業を標的とした攻撃が継続していることを強調しています。

影響分析

CVE-2021-22205が悪用されると、攻撃者は以下の行為が可能になります：

• 脆弱なGitLabサーバー上で任意のコマンドを実行
• 機密リポジトリやCI/CDパイプラインへの不正アクセス
• ランサムウェア、バックドア、その他の悪意あるペイロードの展開
• 侵害されたネットワーク内での横方向移動（ラテラルムーブメント）

セキュリティ研究者らは、この脆弱性を悪用した実環境での攻撃を観測しており、その中には仮想通貨マイナーの展開や持続的なアクセスの確立を試みるものも含まれています。この脆弱性は、その深刻度と悪用の容易さから、脅威アクターにとって格好の標的となっています。

緩和策と推奨事項

CISAの拘束力のある運用指令（BOD 22-01）では、連邦機関に以下を要求しています：

1. 即時パッチ適用：GitLabのバージョン13.10.3以降へアップデート
2. パッチ適用が困難な場合はシステムを隔離
3. 侵害の兆候を監視：リポジトリの異常な変更や不正アクセスの兆候がないか確認

民間企業においても、セキュリティチームは以下の対策を講じるべきです：

• すべてのGitLabインスタンスのパッチ適用を優先
• 不審なアクティビティ（予期しないファイルアップロードやコマンド実行など）をログで確認
• ネットワークセグメンテーションを実施し、ラテラルムーブメントを制限
• GitLabアカウントに**多要素認証（MFA）**を強制

GitLabは、影響を受けるバージョンに対する詳細なパッチ適用手順を提供しています。組織はGitLabインスタンスの確認を行い、速やかにアップデートを適用することが求められています。

結論

CVE-2021-22205は既知の脆弱性であるにもかかわらず、未修正のシステムが存在するため、現在も悪用され続けています。CISAの指令は、特にRCEが可能なレガシー脆弱性に対処する緊急性を強調しています。セキュリティチームはリスクを軽減し、潜在的な侵害を防ぐために迅速に行動する必要があります。