CVE-2025-26701 (CVSS 10): Percona PMM OVA Users at Risk of Unauthorized Access
2025/03/14 SecurityOnline — Percona Monitoring and Management (PMM) の、Open Virtual Appliance (OVA) に深刻なセキュリティ脆弱性が発見され、そのデータベース環境に深刻なリスクが生じている。この脆弱性 CVE-2025-26701 (CVSS:10.o) の悪用に成功した攻撃者は、不正なルート・アクセスを達成し、機密性の高いシステム認証情報を漏洩させる可能性を得るという。
PMM は OSS のデータベース監視/管理/可観測性のソリューションであり、MySQL/PostgreSQL/MongoDB 向けに広く使用されている。オンプレミスおよびクラウドの環境全体で、データベースの健全性の監視/パフォーマンスの傾向分析/トラブル・シューティングをカバーし、データベース管理タスクに不可欠なツールを提供している。
この脆弱性は、OVA プロビジョニングにおける、デフォルトのサービス・アカウント認証情報に起因しており、以下の事態を引き起こす可能性がある:
- 不正な SSH アクセス
- sudo 機能による root への権限昇格
- サービス認証情報とコンフィグ情報の漏洩
この脆弱性の悪用に成功した攻撃者は、影響を受けるシステムの完全な制御を奪取し、データ侵害/サービス中断などの、深刻な結果を引き起こす可能性を手にする。
影響を受けることが判明している PMM デプロイメントは、以下のとおりである:
- PMM Open Virtual Appliance (OVA) インストール ≥ 2.38
影響を受ける製品が、さらに追加される場合には、このリストを更新すると、Percona は通知している。
重要なことは、この脆弱性が影響を及ぼす範囲は、OVA インストールだけに限定されるという部分である。したがって、以下のデプロイメントは影響を受けない:
- Docker/Podman コンテナ
- Amazon マシン・イメージ (AMI)
- Kubernetes デプロイメント (Helm 経由)
影響を受ける PMM OVA のユーザーに対して、Percona が強く推奨するのは、以下のアクションの速やかな実行である:
- PMM 2.44.0-1/ PMM 3.0.0-1 へと、直ちにアップグレード
- 接続されたサービスにおける、すべての認証情報の変更
- 不正アクセスの有無を確認するための、アクセス・ログの監査
以下の重要なセキュリティ・ベストプラクティスについても、Percona はユーザーに注意を促している:
SSH アクセスの制限:PMM OVA インストールでは、追加のセキュリティ強化対策が実装されていない限り、ポート 22 をパブリック・インターネットに公開しないでほしい。また、ファイアウォールや VPN などで安全を確保した上で、リモート・アクセスを使用してほしい。
Percona は、MySQL/MongoDB/PostgreSQL/MariaDB に対応したツールとのことなので、この脆弱性の影響範囲はかなり広いと思います。CVSS 10.0 という最高評価の脆弱性であるため、システム管理者やデータベース運用者の皆さんは、十分にご注意下さい。よろしければ、Database で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.