CVE-2025-27509 (CVSS 9.3): Fleet Patches Critical SAML Authentication Vulnerability
2025/03/10 SecurityOnline — IT/Security の運用で広く使用される、OSS プラットフォームの Fleet が公表したのは、SAML 認証に深刻な影響を及ぼす脆弱性 CVE-2025-27509 (CVSSv4:9.3) に対処するための、重要なセキュリティ・アップデートのリリースである。 この欠陥の悪用に成功した攻撃者は、認証アサーションの偽造を達成し、システム管理上の侵害を引き起こす可能性を得る。
脆弱性レポート/デバイス管理 (MDM)/セキュリティ監視などを提供する Fleet は、Fastly や Gusto などのユーザー組織から信頼されているが、そのプラットフォームの脆弱なバージョンで SAML レスポンスに関する不適切な検証が確認された。Fleet のセキュリティ・アドバイザリには、「Fleet の脆弱なバージョンにおいて、特別に細工された SAML レスポンスを作成する攻撃者は、認証アサーションを偽造し、正当なユーザーになりすませる」と記されている。
JIT (Just-In-Time) プロビジョニングまたは MDM 登録が有効化されている環境おいて、この欠陥は、特に危険なものとなる。攻撃者は、以下のアクティビティを手にする:
- JIT プロビジョニングを悪用した、新しい管理アカウントの作成。
- MDM 登録を利用した、新しいアカウントと、偽造された SAML アサーションの結合。
- Fleet への不正アクセスによる、管理権限/機密デバイス・データの可視性/セキュリティ・コンフィグの変更の可能性。
この脆弱性を発見し、適切に報告したのは、@hakivvi と Robinhood Red Team の Jeffrey Hofmann/Colby Morgan である。
すでに Fleet は、パッチをリリースし、この重大な脆弱性に対処している。修正プログラムはバージョン 4.64.2 用に提供されているが、バージョン 4.63.2/4.62.4/4.58.1/4.53.2 用のバックポートも用意されている。従来からの古いバージョンを実行している場合には、速やかなアップグレードが、強く推奨される。技術的な詳細を詳しく知りたい研究者たちのために、このパッチはコミット fc96cc4 に関連付けられている。
また、迅速なアップグレードが不可能な場合のために、一時的な回避策も提供している。Fleet のアドバイザリには、「即時のアップグレードが不可能な場合には、Fleet ユーザーは SSO (single-sign-on) を一時的に無効化し、パスワード認証を使用する必要がある。それにより、必要な更新を適用するまでの間のリスクを軽減できる」と記されている。
OSS プラットフォームの Fleet に、SAML 認証に影響をおよぼす深刻な脆弱性が発生しています。ご利用のチームは、ご注意下さい。なお、このツールの詳細については、2025/01/21 に投稿した「Fleet は IT/Security チームのための OSS ツール:パッチ適用から MDM にいたるサービス」で、ご紹介しています。よろしければ、カテゴリ SecTools と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.