TokyoBlackHatNews

csoonline.com 4分で読了

PraisonAIの脆弱性が開示後4時間以内にスキャンされる

PraisonAIで新たに開示された認証回避の欠陥(CVE-2026-44338)がすぐさま探査の対象となり、デフォルトで安全でないAI APIからのリスクが露呈された。

オープンソースのAIオーケストレーションフレームワークPraisonAIで新たに開示された認証回避の欠陥は、公開からわずか4時間以内にインターネットスキャナーによって探査されました。

Sysdigの観測によると、GitHubの警告が発表されてからおよそ3時間44分後に、「CVE-Detector/1.0」と名乗るスキャナーがすでに公開されたPraisonAIインスタンスを精査して、脆弱なエンドポイントを探していました。

このバグはPraisonAIのレガシーFlaskベースのAPIサーバーコンポーネント「src/praisonai/api_server.py」に関連しており、デフォルトで認証が無効化された状態で出荷されていました。この問題はバージョン2.5.6から4.6.33に影響し、バージョン4.6.34で修正されています。

「開発グレードのAPIサーバーでデフォルトで認証を無効化することは既知のアンチパターンであり、その影響範囲はオペレーターがエージェントワークフローに与えたあらゆる権限に限定されます」と、BugcrowdのチーフストラテジーおよびトラストオフィサーであるTrey Ford氏は述べました。「ネットワークバインディング、認証デフォルト、およびエージェント設定ファイルの認証情報漏洩を監査することなくAIエージェントの導入を加速させた組織は、おそらく定量化していないリスクに直面しています。」

Sysdigによると、GitHub警告は5月11日の13:56 UTC頃に公開され、探査は17:40 UTCに開始されました。

認証はデフォルトで無効化されていた

Sysdigによると、脆弱なコンポーネントはPraisonAIレガシーAPIサーバーであり、認証保護は設計上実質的に無効化されていました。研究者らは、到達可能なすべての呼び出し元が有効なトークンなしでエージェントワークフローと対話できることを指摘しました。

「PraisonAIは’AUTH_ENABLED = False’および’AUTH_TOKEN = None’をハードコードしたレガシーFlaskベースのAPIサーバーを提供しており」、Sysdig研究者らはブログ投稿で述べました。「check_auth()ヘルパーは認証が無効化されるたびにTrueを返すため、2つの「保護された」ルートは設計上オープンに失敗します。」

CVE-2026-44338として追跡されているこの欠陥は、CVSS 7.3(10点満点)の重要度評価を受けましたが、攻撃者がすでにそれを悪用しようとしていることを考えると、緊急性のあるものと見なされています。 「インターネットから到達可能なすべてのAIサービスは、認証、ネットワークセグメンテーション、および監視の制御を備えた本番資産として扱われるべきです」と、Black DuckのAI研究エンジニアであるVineeta Sangaraju氏は述べ、組織に直ちにパッチを適用することを促しました。

Sysdig研究者らは、初期のリコネーザンストラフィックは最初は一般的に見えたが、/./.envや/adminなどの一般的なインターネット公開パスをターゲットにしていたと述べました。しかし数分後、スキャナーは「/praisonai/version.txt」、「/docs」、「/api/agents/config」、「/api/agents」を含むPraisonAI固有のエンドポイントに転換しました。

研究者らは、成功した悪用がセキュリティ侵害の深刻な拡大につながる可能性があると警告しました。「バイパス自体は恣意的なコード実行ではありません」と彼らは述べました。「しかし、オペレーターが意図的に公開した有用な処理を実行するためのワークフロートリガーから認証を削除するため、影響の上限はそのワークフローが実行できることすべてです。」

軽減策と推奨事項

Sysdigは組織に対し、脆弱なレガシーAPI動作を削除し、より強力な認証保護をもたらすPraisonAIバージョン4.6.34以降に直ちにアップグレードすることを促しました。

研究者らはまた、レガシー「api_server.py」エントリーポイントの使用を完全に中止することを推奨し、古い構成を実行している公開インスタンスが認証されていないアクセス試行に対して脆弱なままであることを指摘しました。

検出の取り組みをサポートするため、防御側は「CVE-Detector/1.0」ユーザーエージェント文字列を含むリクエスト、および/agents、/chat、/api/agents、関連MCPエンドポイントをターゲットとする疑わしいリクエストを監視することが推奨されました。「アップグレードが可能になるまで、ネットワーク層の監視はバイパスがアプリケーションログに認証なしのシグナルを残さないため、このクラスのトラフィックをクリーンに捕捉します」と研究者らは指摘しました。

翻訳元: https://www.csoonline.com/article/4171215/praisonai-vulnerability-gets-scanned-within-4-hours-of-disclosure.html

ソース: csoonline.com
#AI脆弱性 #CVE-2026-44338 #Flask #PraisonAI #Sysdig #オープンソース #セキュリティ #セキュリティパッチ #脆弱性スキャン #認証回避

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活