Strixが開発した自律型AIセキュリティエージェントは、世界中の無数のバックエンドシステムを支える広く利用されている分散キー値ストアであるetcdの重大な認証バイパス脆弱性を発見しました。
CVE-2026-33413として追跡され、CVSSスコア8.8が割り当てられているこの欠陥は、未認証またはprivilege不足のユーザーが機密クラスタ操作を呼び出すことを許可します。
Strixは完全に自律的に不正なアクセス制御問題を特定し、保守者に通知する前にエクスプロイトを検証するためのProof of Conceptの環境を起動しました。
etcdの脆弱性
攻撃者がポート2379のクライアント gRPC エンドポイントへのネットワークアクセスを持つ場合、この脆弱性はシステムを深刻な混乱にさらします。
脅威アクターは、認証なしで、または必要な管理者権限を欠いたトークンを使用して、機密操作を実行できます。
これらの無認可操作はバックエンド適用者によって直接処理されますが、認可がすでに検証されていると誤って想定しています。この欠陥は特に3つの重要なメソッドを公開しています:
- Maintenance.Alarmは、Nospaceやコラプトなどのクラスタアラームをトリガーまたはクリアすることを攻撃者に許可します。
- KV.Compactはデータベースコンパクション をトリガーすることを許可し、これは履歴データ喪失または大量のリソース消費によるサービス拒否を引き起こす可能性があります。
- Lease.LeaseGrantは、システムメモリおよび他の重要なリソースを迅速に枯渇させる可能性のあるリースの作成を有効にします。
Strixの技術分析により、etcdサーバーアーキテクチャの適用者チェーンの根本的な欠陥が明らかになりました。
認証が有効な場合、authApplierV3と呼ばれる特定のラッパーは、リクエストを基礎となる適用者に渡す前に権限を適用する責任があります。
このラッパーはPut、Range、認証管理などの標準的なメソッドのオーバーライドを成功裏に実装していますが、Alarm、Compaction、およびLeaseGrantメソッドを完全に見落としています。
authApplierV3がこれらの操作を含むコアインターフェースを埋め込んでいるため、不足しているメソッドへの呼び出しはバックエンド実装に直接通過します。
リモートプロシージャコール層は認可のためにこの適用者チェーンに依存しており、リクエストはRaftに転送され、二次的な認証チェックなしに実行されることを意味します。
StrixのAIエージェントは、etcdリポジトリのスキャンを2時間だけ行った後、2026年3月3日に脆弱性を特定しました。
システムは自動的に再現可能なセットアップを生成してエンドツーエンドの悪用可能性を検証し、未認証クライアントがアラームを正常に有効化し、圧縮を実行でき、リースを作成できることを確認しました。
責任のある開示に従い、etcdセキュリティチームは迅速に調査結果を確認し、2026年3月のセキュリティリリースで包括的なパッチを公開しました。
公式の修復は、認可チェーンに不足している認証ラッパーメソッドを実装することで根本原因に対処します。
管理者は、埋め込まれた適用者にリクエストを委譲する前に、管理者ステータスの確認などの権限チェックを強制することを確保する必要があります。
etcdを実行している組織は、潜在的な悪用からの分散インフラストラクチャを保護するために、最新のパッチ版にすぐにアップデートするよう促されます。
翻訳元: https://gbhackers.com/critical-etcd-vulnerability/
