概要

KibanaのCrowdStrikeコネクタにセキュリティ上の欠陥が発見され、保存されているCrowdStrikeの認証情報に攻撃者がアクセスできる可能性があることが明らかになりました。この脆弱性は複数のKibanaバージョンに影響を及ぼし、同一デプロイメント内の異なるスペース間で認証情報が漏洩する恐れがあります。Elastic社は本問題に対処するためのアップデートをリリースしており、ユーザーに即時アップグレードを強く推奨しています。

脆弱性の詳細

この脆弱性はCVE-2025-37728として追跡されており、CrowdStrikeコネクタにおける認証情報の保護が不十分であることに起因します。Kibana内のいずれかのワークスペースまたはスペースでコネクタが作成されると、CrowdStrike APIへのアクセスに使用される認証情報がキャッシュされます。悪意のあるユーザーは、別のスペースへのアクセス権を持つことで、このキャッシュメカニズムを悪用し、異なるスペースに属する認証情報を取得することが可能です。この問題は、CrowdStrikeコネクタを使用しているすべてのKibanaインスタンスに影響を与え、認証情報の不正な開示につながる可能性があります。

影響を受けるバージョンと影響

この脆弱性は、パッチが適用されたリリース以前の、CrowdStrikeコネクタを含むすべてのサポート対象およびサポート対象外のKibanaバージョンに影響します。具体的な影響バージョンは以下の通りです。

• 7.x系: 7.17.29以前
• 8.x系: 8.14.0から8.18.7まで
• 8.19.x系: 8.19.0から8.19.4まで
• 9.0.x系: 9.0.0から9.0.7まで
• 9.1.x系: 9.1.0から9.1.4まで

この脆弱性による直接的なデータ変更や削除は不可能ですが、漏洩した認証情報は攻撃者がCrowdStrike APIを照会し、脅威データを収集し、脅威ハンティングのワークフローを操作することを可能にします。リスクは中程度と分類されており、CVSSv3.1スコアは5.4です。これは、悪用には限定的な権限とユーザー操作が必要ですが、部分的な機密性の損失につながる可能性があることを示しています。CrowdStrikeコネクタが設定され、影響を受けるバージョンを実行しているKibanaインスタンスはすべて脆弱です。

解決策と推奨事項

Elastic社は、以下のパッチ適用済みバージョンでこの脆弱性を修正しました。

• 8.18.8
• 8.19.5
• 9.0.8
• 9.1.5

利用可能な回避策や一時的な緩和策はないため、アップグレードが唯一の効果的な対策です。影響を受けるバージョンを使用しているユーザーは、遅滞なくこれらのリリースの一つにアップグレードする必要があります。アップグレード後、管理者はコネクタの設定を確認し、正しく機能していることを確認するとともに、漏洩した可能性のある認証情報をすべてローテーションすることが推奨されます。また、Elastic社のセキュリティアナウンスチャネルを監視し、追加のガイダンスや更新がないか確認してください。

元記事: https://gbhackers.com/kibana-crowdstrike-connector-flaw/