CVE-2025-27507 (CVSS 9.0): ZITADEL Users at Risk of Account Takeover
2025/03/05 SecurityOnline — OSS の ID/Access 管理ソリューションである ZITADEL プロジェクトが発行したのは、同プロジェクトの管理 API に存在する、複数の深刻な Insecure Direct Object Reference (IDOR) の脆弱性に対するセキュリティ・アドバイザリである。この脆弱性 CVE-2025-27507 (CVSS:9.0) の悪用に成功した認証済みのユーザーは、機密性の高い設定を変更することで、ユーザー・アカウントへの不正アクセスの可能性を手にする。
このアドバイザリには、「ZITADEL の API は、インスタンスの管理を目的とするものだが、認証済みの ZITADEL ユーザー (管理者以外) がアクセスできる、想定外の 12 の HTTP エンドポイントを取り込んでいる。この深刻な脆弱性により、ユーザー認証のための一般的なプロトコルである LDAP の、コンフィグに関連するエンドポイントに影響が生じる」と記されている。
この脆弱性を悪用する攻撃者は、以下を可能にする。
- ZITADEL インスタンスの LDAP 設定の変更:これにより攻撃者は、すべての LDAP ログイン試行の、自身が管理するサーバへのリダイレクトを達成し、事実上、ユーザー・アカウントの乗っ取りを可能にする。
- オリジナル LDAP サーバのパスワード公開:これにより攻撃者は、対象となるサーバに関連する、すべてのユーザー・アカウントを危険にさらす可能性を得る。
このアドバイザリは、「一連のエンドポイントへのアクセスにより、ZITADEL インスタンスの LDAP 設定を変更する攻撃者は、正規ユーザーによる LDAP ログイン試行を悪意のサーバへとリダイレクトすることで、事実上、ユーザー・アカウントの乗っ取りを可能にする」と警告している。
この脆弱性が、主として影響を及ぼす範囲は、LDAP を認証に使用している ZITADEL インスタンスとなる。ただし、このアドバイザリでは、言語/ラベル/テンプレートなどのインスタンス設定を、不正に変更できる他の脆弱なエンドポイントについても、詳細に説明されている。
すべてのユーザーに対して、ZITADEL が強く推奨するのは、可能な限り早急にパッチを適用し、修正版へとアップグレードすることだ。このパッチは、ZITADEL の バージョン 2.x で利用可能であり、その詳細は公式のセキュリティ・アドバイザリに記載されている。
この脆弱性 CVE-2025-27507 は、GE Vernova のセキュリティ研究者である Amit Laish により発見された。ZITADEL は、この脆弱性の報告者である Laish に対して、感謝の意を表している。
IDOR (Insecure Direct Object Reference) 脆弱性とは、アクセス制御の脆弱性の一種ですが、OWASP Top 10:2021 の Broken Access Control (A01:2021) のカテゴリーに挙げられていたほど、一般的で影響の大きい脆弱性のひとつです。2023/07/28 に投稿した「IDOR 脆弱性がデータ漏洩に悪用されている:ACSC/CISA/NSA が共同勧告」という記事では、そのメカニズムが詳述されています。よろしければ、OWASP で検索と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.