CISAがRapid7 Velociraptorの脆弱性について警告

サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Rapid7 Velociraptorの重大な脆弱性を「既知の悪用されている脆弱性（KEV）」カタログに追加し、脅威アクターがランサムウェア攻撃でこの欠陥を積極的に悪用していると警告しました。この脆弱性はCVE-2025-6264として追跡されており、2025年10月14日にカタログに追加されました。連邦機関は、2025年11月4日までに必要なセキュリティ対策を講じるよう指示されています。

脆弱性の詳細と深刻な影響

このセキュリティ上の欠陥は、エンドポイントの監視や脅威ハンティングに広く利用されているデジタルフォレンジック・インシデントレスポンスツールであるRapid7 Velociraptorに影響を与えます。脆弱性は、不適切なデフォルトパーミッション（CWE-276）に起因しており、攻撃者が任意のコマンドを実行し、侵害されたエンドポイントを完全に制御することを可能にします。

• CVE ID: CVE-2025-6264
• 製品: Rapid7 Velociraptor
• 脆弱性の種類: 不適切なデフォルトパーミッション

悪用には、攻撃者が標的のエンドポイントからアーティファクトを収集するための初期アクセスを既に持っている必要がありますが、この初期アクセス要件は、実際の攻撃での積極的な悪用を防ぐには不十分であることが判明しています。一度悪用されると、攻撃者は昇格されたアクセス権を利用してランサムウェアのペイロードを展開したり、機密データを窃取したり、侵害されたネットワーク内に永続的なバックドアを確立したりする可能性があります。

セキュリティ研究者は、この欠陥がセキュリティツール内に存在することが、検出を回避しつつ被害者システムを制御しようとするランサムウェアオペレーターにとって特に魅力的であると警告しています。CISAがこの脆弱性をランサムウェアキャンペーンで悪用されていると指定したことは、複数の脅威グループがこのエクスプロイトを攻撃チェーンに組み込んでいることを示しています。

CISAの指示と推奨される対策

連邦機関およびRapid7 Velociraptorを使用する民間組織は、この脆弱性に対処するために直ちに行動を起こす必要があります。CISAは、影響を受ける組織に対し、ベンダーの指示に従ってセキュリティ緩和策を適用するか、クラウドベースの展開についてはBinding Operational Directive 22-01のガイダンスに従うよう指示しています。利用可能な緩和策を実装できない組織は、適切なセキュリティ対策が展開されるまで製品の使用を中止すべきです。

また、セキュリティチームは、過去の悪用を示唆する侵害の兆候がないか、Velociraptorの展開を徹底的にレビューする必要があります。

元記事: https://gbhackers.com/cisa-alerts-on-rapid7-velociraptor-flaw/