Cursor IDE、汚染されたリポジトリ内の悪意あるコードを自動実行

研究者らによれば、新たに発見されたセキュリティ脆弱性により、Cursorの開発環境が悪意あるバイナリを何の造作もなく実行してしまう可能性があるとのことです。

攻撃的セキュリティ企業のMindgardは本日、非常に人気の高いソフトウェア開発用AIツールであるCursorに関わるこの脆弱性を詳述した新たな調査結果を公表しました。この脆弱性により、開発者は悪意ある「git.exe」をリポジトリに仕込むことが可能になります。開発者がそのリポジトリのルートに置かれたgit.exeバイナリを含むプロジェクトを開くと、Cursorクライアントは汚染されたファイルを自動的に実行してしまいます。

Mindgardのブログ記事には次のように記されています。「技術的な問題自体は驚くほど単純です。プロジェクトを読み込む際、CursorはGitバイナリを複数の場所から探し出そうとします。その場所の一つがワークスペース自体です。攻撃者がリポジトリのルートに悪意あるgit.exeを仕込んでいた場合、Cursorはパス解決ロジックの一環として、警告も承認も、リポジトリ由来の実行可能コンテンツがまもなく実行されるという表示すら一切なしに、それを自動的に実行してしまいます」

実際には、攻撃者は汚染されたgit.exeファイルを含む悪意あるリポジトリを公開し、そのファイルを不注意に実行してしまった開発者の権限でコードを実行させることができます。通常見られるものよりも手順が少ない汚染リポジトリ攻撃と言えるでしょう。

この脆弱性を実証するための概念実証(PoC)エクスプロイトとして、Mindgardは Windowsの電卓アプリケーションをgit.exeという名前に変更し、リポジトリのルートに配置しました。ブログ記事には「そのリポジトリに対してCursorを起動するだけで、実行されるには十分でした」と記されています。

協調のないままのCursorバグ開示

Mindgardによれば、同社は昨年12月15日にこの脆弱性を発見してCursorに報告し、それ以降の6か月間で「複数回」報告を重ねてきたとのことです。本稿執筆時点でテストした最新版のCursorにおいても、この問題は依然として残っています。

ブログ記事のかなりの部分は、この脆弱性を開示するに至った経緯の説明に割かれています。それによると、Mindgardはセキュリティ研究者とソフトウェア発行元の間での協調的な開示を重視し、それを望んでいたものの、同社はメール、LinkedIn、HackerOneのバグバウンティプログラムを通じて詳細をCursorに伝えたとのことです。しかしCursorはMindgardの報告を一度も受理せず、問題に対処することもなく、いかなる解決策も提示しなかったと同社は述べています。

ブログ記事にはこう記されています。「最初の開示から7か月が経過しましたが、ユーザーが保護されている、修正が進行中である、あるいは影響を受ける組織に通知が行われているといった兆候は一切見られません。この段階に至っては、情報を伏せておくことはもはやユーザーのためにはならず、単なる沈黙に資するだけです。そのためMindgardは、この脆弱性の詳細をすべて公開することにしました。Cursorを利用する組織には、自社の被害リスクを評価し、代替の制御策を実施し、自社のセキュリティ体制について十分な情報に基づいた判断を下す機会が与えられるべきです」

Dark Readingは報告された脆弱性についてCursorにコメントを求めました。広報担当者は7月13日、Dark Readingに対し「この問題への対応を進めており、Mindgardに対して然るべき形で回答する予定であることを確認します」と述べました。

このAI搭載コーディングツールを企業環境や管理下のWindowsシステムで運用しているユーザーについては、Mindgardによれば、管理者はAppLockerやWindowsのApp Controlポリシーを使い、開発者のワークスペースディレクトリからのgit.exeの実行を拒否できるとのことです。一方、一般消費者向けシステムに関する言葉遣いははるかに強いものとなっています。

ブログ記事にはこう記されています。「IDE(統合開発環境)が修正されるまでは、信頼できないリポジトリは分離されたVM、Windows Sandbox、あるいはその他の使い捨て環境でのみ開いてください。この問題に対してファイルハッシュのブロックリストに頼るべきではありません」

Mindgardの最高製品責任者であるAaron Portnoy氏はDark Readingに対し、この脆弱性は修正するのは簡単である一方、悪用するのも非常に容易だと語りました。Zero Day Initiativeを率いていた当時、最初の6回にわたるPwn2Own競技会を企画・運営したPortnoy氏は、脅威アクターが狙いたい標的を持っていれば「間違いなくこれを実際の攻撃に利用するだろう」と付け加えました。

「リモートアクセス型のトロイの木馬でもランサムウェアのバイナリでも、実行したいものを何でもgit.exeという名前にしてしまえば、開発者がリポジトリを開いた瞬間、あるいはその直後に、何の通知もなく制限を受けずに実行されてしまいます」と同氏は述べています。

さらに同氏はこう付け加えました。「ソースコードがなくても、彼らが行うべき1行の変更をリバースエンジニアリングすれば、私なら5分ほどでこの脆弱性を修正できるでしょう。12月に報告したにもかかわらず、いまだに修正されていないというのは私には理解に苦しみます。だからこそ、私たちは今日こうして話をしているのです」

翻訳元: https://www.darkreading.com/application-security/cursor-ide-malicious-code-poisoned-repos

ソース: darkreading.com