はじめに

アメリカのサイバーセキュリティ・インフラセキュリティ庁（CISA）は、デジタルフォレンジックおよびインシデントレスポンスツールであるRapid7 Velociraptorの重大な脆弱性（CVE-2025-6264）が、ランサムウェアキャンペーンで積極的に悪用されていると警告しました。この脆弱性は、CISAの既知の悪用済み脆弱性カタログに2025年10月14日に追加され、連邦機関には2025年11月4日までに必要なセキュリティ対策を講じるよう指示されています。

脆弱性の詳細

このセキュリティ上の欠陥は、セキュリティチームがエンドポイントの監視や脅威ハンティングに広く使用しているRapid7 Velociraptorに影響を与えます。脆弱性は、不適切なデフォルト権限（CWE-276）に起因しており、攻撃者が任意のコマンドを実行し、侵害されたエンドポイントを完全に制御することを可能にします。

• CVE ID: CVE-2025-6264
• 製品: Rapid7 Velociraptor
• 脆弱性の種類: 不適切なデフォルト権限

悪用には、攻撃者が標的のエンドポイントからアーティファクトを収集するための初期アクセスをすでに持っている必要がありますが、この初期アクセス要件は、実際の攻撃における積極的な悪用を阻止するには不十分であることが判明しています。

悪用の影響

一度悪用されると、攻撃者は昇格されたアクセス権を利用して、ランサムウェアペイロードの展開、機密データの持ち出し、または侵害されたネットワーク内での永続的なバックドアの確立を行うことができます。セキュリティ研究者は、セキュリティツール内のこの欠陥が、検出を回避し、ログを操作し、長期間検出されずに活動し続けることを目指すランサムウェアオペレーターにとって特に魅力的であると警告しています。

CISAがこの脆弱性をランサムウェアキャンペーンで使用されていると指定したことは、複数の脅威グループがこのエクスプロイトを攻撃チェーンに組み込んでいることを示しています。ランサムウェア攻撃者は通常、防御を無効にし、ログを操作し、長期間検出されずに活動するために、セキュリティおよび監視ツールの脆弱性を標的にします。Velociraptorの悪用は、組織が保護のために依存しているツールそのものが武器化されるという憂慮すべき傾向を示しています。

CISAの警告と推奨事項

Rapid7 Velociraptorを使用している連邦機関および民間組織は、この脆弱性に対処するために直ちに行動を起こす必要があります。CISAは、影響を受ける組織に対し、ベンダーの指示に従ってセキュリティ対策を適用するか、クラウドベースの展開についてはBinding Operational Directive 22-01のガイダンスに従うよう指示しています。利用可能な対策を実装できない組織は、適切なセキュリティ対策が展開されるまで製品の使用を中止すべきです。

セキュリティチームはまた、以前の悪用を示唆する侵害の兆候を特定するために、Velociraptorの展開について徹底的なレビューを実施する必要があります。

元記事: https://gbhackers.com/cisa-alerts-on-rapid7-velociraptor-flaw/