概要
Fleetは、オープンソースのデバイス管理ソフトウェアです。バージョン4.80.1より前のFleetにおいて、構成APIの脆弱性により、低権限の認証済みユーザーがGoogle Calendarサービスアカウントの認証情報を取得できる可能性が報告されています。
この脆弱性により、サービスアカウントに関連付けられたGoogle Calendarリソースへの不正アクセスが発生する可能性があります。ただし、この問題はFleet内での権限昇格やデバイス管理機能へのアクセスを許すものではないとされています。
影響範囲
- Fleetのバージョン4.80.1より前のバージョンが影響を受けます。
- Google Calendar統合機能を使用している環境が対象となります。
想定される影響
- 低権限の認証済みユーザーが、Google Calendarサービスアカウントの秘密鍵マテリアルを取得する可能性があります。
- 取得された認証情報を用いて、サービスアカウントに関連付けられたGoogle Calendarデータや、設定によっては他のGoogle Workspaceリソースへ不正アクセスされる可能性があります。
攻撃成立条件・悪用状況
- 攻撃者はFleetに認証済みユーザーとしてログインしている必要があります(最低権限の「Observer」ロールでも可能です)。
- FleetでGoogle Calendar統合が設定されている必要があります。
- 現時点での具体的な悪用状況については、公開情報からは確認できません。
推奨対策
今すぐできる対策(最優先)
- Fleetのアップグレード: 脆弱性が修正されたバージョン4.80.1以降へ速やかにアップグレードしてください。
一時的な緩和策
- Google Calendar統合の削除: 即座のアップグレードが困難な場合は、FleetからGoogle Calendar統合を一時的に削除することを検討してください。
- Googleサービスアカウント認証情報のローテーション: 影響を受けるGoogleサービスアカウントの認証情報をローテーション(再生成)してください。これにより、漏洩した可能性のある認証情報の無効化が図れます。
確認方法
- 現在利用しているFleetのバージョンを確認し、4.80.1より前である場合は影響を受ける可能性があります。
- Fleetの管理画面でGoogle Calendar統合が設定されているか確認してください。