概要
Red Hatは、OpenShift GitOpsにおける重大なセキュリティ上の欠陥を公表しました。この脆弱性により、認証されたユーザーがクラスターを完全に制御できるようになる可能性があります。CVE-2025-13888として識別されたこの脆弱性は、ネームスペース管理者が本来の範囲を超えて権限を昇格させ、最終的にシステム全体へのルートアクセスを獲得する可能性があるものです。
脆弱性の詳細
- カテゴリ情報: CVE/vulnerability
- CVE ID: CVE-2025-13888
- ベンダー評価: 重要 (Important)
- CVSS v3.1 スコア: 9.1 (Critical)
- 攻撃ベクトル: ネットワーク (AV:N)
Red Hatは深刻度を「重要」と評価していますが、ネームスペース管理者が完全に信頼されていない環境にとっては、その技術的な影響は甚大です。
技術的なルートアクセスへの昇格
この脆弱性は、OpenShift GitOpsがArgoCDカスタムリソースの権限を処理する方法に問題があることに起因します。標準的な設定では、ネームスペース管理者は自身のネームスペース内のリソース管理に制限されています。しかし、この欠陥を利用することで、悪意のある管理者が特定のカスタムリソースを作成し、システムを欺いて他のネームスペースでの特権的な権限を付与させることが可能になります。
一度これらの特権が獲得されると、攻撃者はコントローラーノード上で実行可能な特権ワークロードを展開できます。これにより、システム全体へのルートアクセスが実質的に与えられ、セキュリティ制御の回避、機密データへのアクセス、または操作の妨害が可能になります。
攻撃ベクトルは「ネットワーク」と分類されていますが、攻撃を実行するには、すでに有効なネームスペース管理者の認証情報を持っている必要がある点に注意が必要です。この要件は、脅威を内部関係者または侵害された管理者アカウントに限定し、外部の未認証の攻撃者からの脅威を軽減します。
対策と推奨事項
Red Hatは、この脆弱性に対処するためのセキュリティアップデートをOpenShift GitOpsのサポートされているバージョンすべてにリリースしました。この修正により、ArgoCDリソース作成時の権限検証が適切に行われ、権限昇格の経路が阻止されます。
OpenShift GitOps バージョン 1.16、1.17、または 1.18 を使用している組織は、利用可能なパッチを直ちに適用する必要があります。
セキュリティチームは、クラスター構成を監査し、ネームスペース管理者の権限を持つユーザーのリストを見直すことが推奨されます。このエクスプロイトは、認証されたユーザーがその権限を悪用することに依存しているため、ソフトウェアアップデートの適用と並行して、管理アクセスを厳しく制限し監視し続けることが重要な防御層となります。