GoHarborのHarborコンテナレジストリの重大なセキュリティ脆弱性により、組織は深刻なサプライチェーン攻撃にさらされています。
CVE-2026-4404として追跡されているこの脆弱性は、管理者が手動で変更しない限りアクティブなままのハードコードされたデフォルト認証情報に起因しています。
Harborは、コンテナイメージを保存、署名、および管理するために設計されたオープンソースのOCI準拠レジストリプロジェクトとして機能しています。
クラウドネイティブインフラストラクチャで中心的な役割を果たしているため、この認証の弱さは、リモート攻撃者に継続的インテグレーション/継続的デプロイメント(CI/CD)環境全体を侵害する直接的な経路を与えます。
デフォルト構成の弱点
初期セットアップ中に、Harborは公開されているパスワードとペアになったデフォルト管理者アカウントでデプロイされます。
インストールは、オペレータが明示的にカスタム値を提供しない限り、デフォルト認証情報を割り当てるために構成ファイルに依存します。
ソフトウェアが最初のログイン時またはデプロイ段階中にパスワードリセットを強制することがないため、主なセキュリティ障害が発生しています。
その結果、即座の手動介入なしでデプロイされたインスタンスは、極めて脆弱なままです。
KB Certによると、リモート脅威行為者は公開されたHarborレジストリをスキャンし、これらの文書化されたデフォルトを使用してシームレスに認証することができます。
管理者アクセスで正常に認証した攻撃者は、Harborレジストリとすべての関連成果物を完全に制御します。
このエスカレートされたアクセスにより、敵対者は既存のコンテナイメージを上書きするか、開発環境に完全に新しい悪意のある成果物を注入することができます。
これらの侵害されたイメージをプルするダウンストリームシステムは即座のリスクに直面し、接続されたKubernetesクラスター全体でのサプライチェーン攻撃とリモートコード実行への道を切り開きます。
悪意のある行為者は、成果物を直接コピーするか、外部の不正なレジストリへの自動レプリケーションを構成することにより、機密の独自イメージを簡単に流出させることもできます。
脅威行為者は、管理者アクセスを活用して、侵害されたネットワーク内に深い永続性を確立することもできます。
新しいユーザープロファイルを生成し、不正なロボットアカウントを確立し、長期アクセスを確保するための永続的なAPIトークンを発行できます。
攻撃者がセキュリティコントロールを解体する権限を持っているため、管理者はこれらの侵入を検出または停止することが困難になります。
彼らは脆弱性スキャンをバイパスし、署名の強制を無効にし、ロールベースのアクセス制限を上書きして活動を隠すことができます。
セキュリティチームは、すぐにHarborウェブインターフェースにログインし、デフォルト管理者パスワードを変更して環境を保護する必要があります。
オペレータは、インストール前に構成ファイル内に一意の強力なパスワードパラメータを割り当てることにより、新しいデプロイ中にこの問題に永続的に対処することができます。
Harbor開発チームは、永続的なソフトウェアパッチを進めることにより、根本的な原因に対処しています。
この今後のフィックスは、インストール中に認証情報をランダム化するか、必須のパスワード作成ステップを強制することにより、ハードコードされたパスワードを完全に排除します。
翻訳元: https://gbhackers.com/goharbor-issues-urgent-patch/
