GoHarbor、深刻なハーバー脆弱性に対する緊急パッチを発行
GoHarborは、ハーバー・コンテナレジストリにおける深刻なセキュリティ脆弱性に対応するため、緊急のパッチを発行しました。この脆弱性はCVE-2026-4404として追跡されており、デフォルトのハードコードされた資格情報が管理者によって手動で変更されない限り有効なままであることが問題となっています。
ハーバー・コンテナレジストリとは?
ハーバーは、オープンソースのOCI準拠レジストリプロジェクトであり、コンテナイメージを保存、署名、および管理するためのツールです。クラウドネイティブインフラストラクチャにおいて重要な役割を果たすため、この認証の弱点はリモート攻撃者に対してCI/CD環境全体への直接的な侵入経路を与えます。
デフォルト設定の脆弱性
ハーバーが初期セットアップ時にデプロイされる際、デフォルトの管理者アカウントと公開されているパスワードが付属します。インストールは設定ファイルに依存し、オペレーターが明示的にカスタム値を提供しない限り、デフォルトの資格情報が割り当てられます。
主なセキュリティ上の問題点は、ソフトウェアが最初のログイン時やデプロイフェーズ中にパスワード変更を強制しないことです。そのため、即座に手動で対応されないインスタンスは非常に脆弱となります。
攻撃者の脅威
リモートの脅威アクターが公開されたハーバー・レジストリーをスキャンし、これらの記録されたデフォルトを使用して認証を行うことができます。管理者権限で成功した認証により、攻撃者はハーバー・レジストリとすべての関連アートifactsに対する完全な制御を得ることができます。
- 既存のコンテナイメージを上書きする
- 開発環境に新しい悪意のあるアートifactsを挿入する
これらの侵害された画像を引き当てる下流システムは直ちにリスクにさらされ、サプライチェーン攻撃や接続されたKubernetesクラスター全体でのリモートコード実行の道を開きます。
深刻な脅威
悪意のあるアクターは、セキュリティ制御を破棄する能力を持つため、管理者がこれらの侵入を検出または阻止することは困難です。攻撃者は脆弱性スキャンをバイパスし、署名の強制を無効にしたり、役割ベースのアクセス制限を上書きして活動を隠すことができます。
緊急対応
セキュリティチームはすぐにハーバー・ウェブインターフェースにログインし、デフォルトの管理者パスワードを変更する必要があります。オペレーターは新しい展開時に設定ファイル内で一意で強力なパスワードパラメータを割り当てることで問題を永久的に解決できます。
ハーバー・開発チームは現在、根本的な原因に対処するためにソフトウェアパッチの永久的な修正を進めています。このアップデートにより、デフォルトパスワードが完全に削除され、インストール時にランダムな資格情報を生成するか、強制的にパスワード作成ステップを実行します。