Kubernetesおよび他の分散システムのコアインフラストラクチャとして広く使用されている分散キー値ストアのetcdで、深刻な認証バイパス脆弱性が発見されました。
CVE-2026-33413(CVSS 8.8)として追跡されているこの欠陥により、権限のないユーザーが機密クラスター管理APIを直接呼び出し、有効な認証情報なしに特権操作を実行できる可能性があります。
Strixは、オープンソースソフトウェア(OSS)リポジトリのロジックとアクセス制御の弱点を自動的に監査することを専門としており、2026年3月初旬にetcdソースベースで正常に実行したタスクです。
Strixは52,000以上のスターを持つOSSプロジェクトであるetcd GitHubリポジトリをスキャンし、2時間以内にサーバー側の認可ロジック内の破損したアクセス制御欠陥を自動的に特定しました。
概念実証(PoC)を自動的に生成し、悪用可能性を検証した後、この調査結果はetcdセキュリティチームに責任を持って開示されました。
その結果、ポート2379のgRPCクライアントエンドポイントに送信された認証されていない、または権限が不足しているリクエストは、バックエンド経由で直接特権操作をトリガーできる可能性がありました。
悪用された場合、この欠陥は脅威アクターに以下のことを可能にする可能性があります:
本質的に、これらの操作はアクセス許可チェックをバイパスし、呼び出し元が管理者であるかのように実行されました。
2026年3月3日のStrixの開示に従い、etcdセキュリティチームは1週間以内に問題を確認し、2026年3月のセキュリティ更新でパッチをリリースしました。
このフィックスは影響を受けた機能に明示的な認可ハンドラーを導入し、特権操作の前に管理者レベルの権限チェックが実行されることを保証しました。
このケースは、AI駆動の自律的侵入テストの成長する可能性を強調しています。Strixは欠陥を検出したばかりでなく、完全に機能するエクスプロイトチェーンで検証し、理論的な発見ではなく実用的な証明を示しました。
シャピーロが要約したように、この事件は次世代のセキュリティテストが達成できることを示しています:「実際の調査結果、エンドツーエンド検証、および明確な修復ステップで提供」
翻訳元: https://cyberpress.org/etcd-auth-bypass-flaw/
