Red Hatは、認証済みユーザーがクラスターを完全に制御できる可能性がある、OpenShift GitOpsの重大なセキュリティ欠陥を公表しました。
識別子 CVE-2025-13888が割り当てられたこの脆弱性により、名前空間管理者が本来の範囲を超えて権限を昇格でき、システム全体に対してrootアクセスを取得する可能性があります。
| カテゴリ | 情報 |
|---|---|
| CVE ID | CVE-2025-13888 |
| ベンダーの深刻度 | 重要 |
| CVSS v3.1 スコア | 9.1(重大) |
| 攻撃ベクター | ネットワーク(AV:N) |
Red Hatは深刻度を「重大(Critical)」ではなく「重要(Important)」として評価していますが、名前空間管理者を完全には信頼できない環境では技術的影響は深刻です。
Rootアクセスへの技術的な権限昇格
この脆弱性は、OpenShift GitOpsがArgoCDカスタムリソースの権限を扱う方法における問題に起因します。
標準的な構成では、名前空間管理者は自身の特定の名前空間内のリソース管理に制限されます。
しかしこの欠陥により、悪意ある管理者が特定のカスタムリソースを作成し、システムを欺いて他の名前空間での昇格権限を付与させることが可能になります。
これらの昇格権限を取得すると、攻撃者はコントローラーノード上で実行できる特権ワークロードをデプロイできます。
これにより、クラスター全体へのrootアクセスが事実上付与され、セキュリティ制御の回避、機密データへのアクセス、または運用妨害が可能になります。
攻撃ベクターは「ネットワーク」ベースに分類されています。ただし、悪用には攻撃者がすでに有効な名前空間管理者の認証情報を保有している必要がある点に注意が必要です。
この要件により、脅威は外部の未認証攻撃者ではなく、内部不正や管理者アカウントの侵害に限定されます。
Red Hatは、サポート対象のOpenShift GitOps各バージョンにわたり、この脆弱性に対処するセキュリティ更新をリリースしました。
この修正により、ArgoCDリソース作成時にシステムが権限を適切に検証するようになり、権限昇格の経路が防止されます。
OpenShift GitOpsのバージョン1.16、1.17、または1.18を使用している組織は、利用可能なパッチを直ちに適用してください。
セキュリティチームには、クラスター構成の監査と、名前空間管理者権限を持つユーザー一覧の見直しが推奨されます。
この攻撃は認証済みユーザーが権限を悪用することに依存するため、ソフトウェア更新の適用に加え、管理者アクセスを厳格に制限・監視することが重要な防御層となります。
翻訳元: https://gbhackers.com/openshift-gitops-vulnerability/
