悪用の証拠はないが、システム管理者は自分の環境を確認したほうがよい。
Red Hatは、攻撃者がクラスターおよびその上で稼働するすべてのアプリケーションを完全に制御できる脆弱性(CVSSスコア9.9)を発見した後、OpenShift AIサービスを更新しました。
Red Hat OpenShift AI(RHOAI、2023年まではRed Hat OpenShift Data Scienceと呼ばれていました)は、同社のKubernetesベースの大規模言語モデル(LLM)管理・デプロイメントプラットフォームです。
この製品は比較的新しいため、CVEレベルの欠陥は多くありませんが、最新の脆弱性CVE-2025-10725は、CVSSスコア9.9でこれまでで最悪とされ、米国国家脆弱性データベースでは「クリティカル」と分類されています。しかしRed Hatはこの問題を最小限にとどめており、自社の評価基準では「重要(Important)」とされるのは、悪用には認証(最小限ではあるが)が必要だからだと説明しています。
Red Hatのアドバイザリによると、これを悪用した攻撃者は「機密データの窃取、すべてのサービスの妨害、基盤インフラの制御が可能となり、プラットフォームおよびその上でホストされているすべてのアプリケーションの完全な侵害につながる」としています。
通常、脆弱性はバッファオーバーフローのようなコーディング上の問題ですが、今回の脆弱性は珍しく、Red Hatがプラットフォームのロールベースアクセス制御(RBAC)に実装した認可の設計上の欠陥です。
Red Hatはこの問題の根本原因を、「過度に許可されたClusterRole」と説明しています。これは、KubernetesのRBACシステムでユーザー、グループ、またはサービスアカウントの権限を定義する部分の業界用語です。
その結果、「標準的なJupyterノートブック(開発環境)を利用するデータサイエンティストのような、認証済みアカウントへのアクセス権を持つ低権限の攻撃者が、クラスター管理者権限まで昇格できる」とされています。
つまり、低権限ユーザーが管理者レベルまで権限を昇格できるということです。Red HatのBugzilla分析を詳しく見ると、これはテナント分離の崩壊を意味し、同じクラスター上でアプリケーションを稼働させているすべての顧客に影響を及ぼす可能性があることが分かります。
もちろん、攻撃者が最低限の認証を突破する必要はありますが、多くの攻撃が示す通り、現代のサイバー犯罪者にとって認証情報の入手は容易です。
対策
Red Hatは管理者に対し、kueue-batch-user-roleをsystem:authenticatedグループに関連付けるClusterRoleBindingコンポーネントを削除し、「システムレベルのグループに広範な権限を付与しない」よう推奨しています。
さらにRed Hatは「ジョブ作成権限は、必要に応じて特定のユーザーまたはグループに、最小権限の原則に従って、より細かく付与すべき」と述べています。修正を実装したRHOAIイメージは、2.19および2.21です。
この脆弱性の情報源は不明ですが、9月19日にRed HatのOpen Security Issue Database(OSIDB)に追加されました。Red Hatのアドバイザリには公的な悪用についての記載はありませんが、システム管理者は念のため自分の環境を確認したほうがよいでしょう。
Red Hatはこれらの問題に関するさらなるコメント要請にはすぐには応じませんでした。
AIおよびエージェンティックAIは、近年Red Hatのコアとなる「AIネイティブ」RHEL 10 LinuxやOpenShift Container Platformにおいて大きな焦点となっています。その背景には、Red Hatの場合はAWS、Azure、Google、オンプレミスやプライベートクラウド上でLLMを実行できるプラットフォームへの需要があります。
