TokyoBlackHatNews

csoonline.com 4分で読了

Open WebUIのバグで無料ツールがバックドアに

この重大な脆弱性により、攻撃者が改ざんされたAIモデルサーバーを介して悪意あるコードを注入し、AIワークロード全体を乗っ取れる可能性があるという。

Image

Open WebUIのバグの深刻度は高いと評価されている。

Wirestock Creators- shutterstock.com

Cato Networksのセキュリティ研究者は、LLM(大規模言語モデル)向けのセルフホスト型エンタープライズ・インターフェースであるOpen WebUIに脆弱性を発見した。これは、「Direct Connections」機能で組み込まれた外部モデルサーバーが、悪意あるコードを注入しAIワークロードを乗っ取ることを可能にするという。

CVE-2025-64496として識別されるこの問題は、Server-Sent Events(SSE)の不安全な取り扱いに起因する。これにより、ユーザーアカウントの乗っ取りが可能になり、場合によっては(拡張権限がある場合)バックエンドサーバー上でリモートコード実行(RCE)も行える。

専門家によれば、フロントエンドが気付かないうちに注入されたJavaScriptを実行するよう誘導され得る。そのためには、従業員が攻撃者の管理下にあるモデル・エンドポイントにOpen WebUIを接続する必要があり、例えば「無料のGPT-4代替」といった口実が使われる。

このコードはブラウザのコンテキストからJSON Web Token(JWT)を盗み出し、犯罪者が被害者のAIワークスペース、ドキュメント、チャット、埋め込まれたAPIキーへ恒久的にアクセスできるようにするという。

この不具合はOpen WebUIのバージョン0.6.34まで(同版を含む)に影響し、0.6.35で修正された。したがって企業は本番環境を直ちにパッチ適用すべきだ。

快適さではなく危機

Catoの研究者によれば、問題はDirect Connectionsにある。これはユーザーがOpen WebUIを外部のOpenAI互換モデルサーバーに接続できる機能だ。プラットフォームのSSEハンドラーは、これらのサーバーから届くイベント、特に「{type: execute}」タグ付きのものを信頼してしまう。そしてそのペイロードを動的なJavaScriptコンストラクタで実行する。

ソーシャルエンジニアリングによって容易に起こり得るが、ユーザーが悪意あるサーバーに接続すると、そのサーバーは実行可能なJavaScriptを含むSSEを送信できる。このスクリプトはブラウザのストレージに完全アクセスでき、認証に使用されるJWTも含まれる。

「Open WebUIはJWTトークンをlocalStorageに保存している」とCatoの専門家はブログ投稿で述べている。「ページ上で実行されるあらゆるスクリプトがそれにアクセスできる。トークンはデフォルトで長寿命で、HttpOnly属性がなく、タブをまたいで共有される。Executeイベントと組み合わさることで、アカウント乗っ取りのための時間的猶予が生まれる。」

ただしNational Vulnerability Database(NVD)の説明によれば、この攻撃には、被害者がデフォルトで無効になっているDirect Connectionsを有効化し、攻撃者の悪意あるモデルURLを追加する必要がある。

リモートコード実行にまで至るエスカレーション

しかしリスクはアカウント乗っ取りで終わらない。侵害されたアカウントがWorkspace Toolsの権限を持っている場合、攻撃者はこのセッショントークンを利用できる。これにより、Open WebUIのTools APIを通じて認証済みのPythonコードを注入し、サンドボックス化や検証なしに実行させることが可能になる。

専門家によれば、これにより侵害されたブラウザがバックエンドサーバー上での完全なリモートコード実行へとつながる。攻撃者がPython実行へのアクセスを得ると、次のことが可能になる。

  • 永続化メカニズムを導入する、
  • 内部ネットワークに侵入する、
  • 機密データストレージにアクセスする、または
  • ラテラル攻撃を実行する。

この脆弱性はNVDで8/10という高い深刻度評価を受け、GitHubでも7.3/10となった。クリティカルではなく高と評価された理由は2つある。1つは、エクスプロイトにDirect Connections機能が有効化されていることが前提となる点。もう1つは、ユーザーがまず改ざんされた外部モデルサーバーへの接続に誘導されなければならない点だ。

Open WebUI v0.6.35の不具合は、パッチによる緩和策で修正できる。これにより、Direct Connectionsからの「execute」SSEイベントが完全にブロックされる。しかし、さらに古いバージョンを使用している組織は依然として危険にさらされている。

研究者はさらに、認証を短命でローテーション可能なHttpOnlyクッキーへ移行することを推奨している。「これを厳格なCSPと組み合わせ、動的なコード評価を禁止してください」。(tf)

翻訳元: https://www.csoonline.com/article/4113834/bug-in-open-webui-macht-kostenlos-tool-zur-backdoor.html

ソース: csoonline.com
#CVE-2025-64496 #JWT(JSON Web Token)窃取 #LLM #Open WebUI #Server-Sent Events(SSE) #サイバーセキュリティ #バックドア #パッチ適用 #リモートコード実行(RCE) #脆弱性

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活