はじめに
Elastic社は、Kibanaにおけるオリジン検証エラーに関するセキュリティアドバイザリを公開しました。この脆弱性により、システムがサーバーサイドリクエストフォージェリ(SSRF)攻撃に晒される可能性があります。
脆弱性の詳細 (CVE-2025-37734)
この脆弱性はCVE-2025-37734として追跡されており、Kibanaの人気のデータ可視化および探索プラットフォームの複数のバージョンに影響を与えます。この問題は、KibanaのObservability AI Assistantコンポーネントにおける不適切なオリジン検証に起因します。攻撃者は、偽造されたOrigin HTTPヘッダーを作成することでセキュリティチェックを回避し、不正なサーバーサイドリクエストを実行できます。
この種の攻撃は、脅威アクターが内部システムやサービスにアクセスすることを可能にし、データ漏洩、内部リソースへの不正アクセス、および侵害されたネットワーク内での横方向の移動につながる可能性があるため、特に懸念されます。Observability AI Assistantは、十分な検証なしにこれらのヘッダーを処理するため、悪用の機会が生じます。
影響を受けるバージョンとCVSSスコア
この脆弱性は、以下のKibanaバージョンに影響を与えます。
- Kibana 8.12.0~8.19.6
- Kibana 9.1.0~9.1.6
- Kibana 9.2.0
ただし、影響はObservability AI Assistant機能を使用しているデプロイメントに限定されます。Elastic社の公式セキュリティ発表によると、この脆弱性のCVSSスコアは4.3(中程度)です。攻撃には低い権限とユーザーインタラクションが不要であるため、基本的なネットワークアクセスを持つ潜在的な脅威アクターにとって比較的容易に悪用可能です。
対策と推奨事項
Elastic社は、この脆弱性に対処するためのセキュリティアップデートをリリースしました。組織は、現在のデプロイメントバージョンに応じて、直ちに以下のバージョンにアップグレードする必要があります。
- 8.19.7
- 9.1.7
- 9.2.1
特筆すべきは、Elastic Cloud Serverlessユーザーはすでに保護されている点です。Elastic社の継続的なデプロイメントモデルにより、この脆弱性は公開前にパッチが適用されており、サーバーレス顧客の露出期間は排除されています。
直ちにアップグレードできない組織に対しては、Elastic社はパッチが適用されるまでの間、Observability AI Assistantを一時的に無効にすることを推奨しています。また、管理者はアクセスログを監査し、疑わしいオリジンヘッダーや異常なサーバーサイドリクエストがないか監視することで、悪用試行の兆候を特定し、重大な損害が発生する前に潜在的な侵害を特定するのに役立ちます。
結論
Kibanaユーザーは、システムを保護するために、これらのセキュリティアップデートを優先し、推奨される緩和策を講じることが不可欠です。
元記事: https://gbhackers.com/kibana-vulnerabilities-expose-systems/