Microsoft Warns of Attackers Exploiting Misconfigured Apache Pinot Installations
2025/05/06 SecurityWeek — Kubernetes のセキュリティについて Microsoft が実施した調査により、Apache Pinot のミスコンフィグのあるインスタンスを、脅威アクターたちが標的にしていることが明らかになった。Apache Pinot は、大規模なデータセットを高速かつ低レイテンシでクエリできるように設計された、OSS のリアルタイム分析プラットフォームである。それが評価され、Walmart/Uber/Slack/LinkedIn/Wix/Stripe などの世界有数の企業で、Pinot は使用されている。
Kubernetes インストールのケースにおいて、Apache Pinot の公式ドキュメントには不備があると言える。つまり、デフォルト・コンフィグの安全性がきわめて低いため、機密性の高いユーザー・データが漏洩する可能性が生じるが、そのことが、ユーザーに通知されていないのだ。
Microsoft の研究者たちは、「デフォルトのインストールでは、Apache Pinot の主要コンポーネントが、Kubernetes LoadBalancer サービスによりインターネットに公開されてしまい、デフォルトでは認証メカニズムも提供されない」と説明している。
彼らが警告するのは、未認証の攻撃者が Pinot ダッシュボードにフルアクセスし、保存されたデータに対してクエリを実行し、ワークロードの管理を奪う可能性である。
このリスクは、単なる理論上のものではない。 Microsoft が発表したのは、Pinot ワークロードのミスコンフィグにより、ユーザー・データへのアクセスが狙われるという、複数の実例を確認したという内容である。
Microsoft は、「ミスコンフィグと認証/認可メカニズムの欠如について分析した。少数ながらも、重要なアプリケーション群が、認証を全く提供していない状況が確認された。また、ログイン時に、事前定義されたユーザー名とパスワードが使用されたことで、攻撃者にとって格好の標的になっている」と、明らかにした。
Microsoft の研究者たちは、クラウド・インフラを共同で設計/運用するための、エンジニアリング・プラットフォーム Meshery において、攻撃者が任意のコードを実行し、基盤となるリソースを制御する脆弱性があることを発見した。
ただし、この攻撃の前提として、アプリケーション・インターフェイスを公開する、外部 IP アドレスへのアクセスが必要になるため、Meshery からの内部ネットワークへのアクセスを制限することで阻止できるという。
Microsoft は、「コンテナ化されたアプリケーションに対する実環境でのエクスプロイトの多くは、ミスコンフィグのあるワークロードにおいて、特にデフォルト設定を使用している際に多発している」とは結論付けている。
Apache Pinot に、ミスコンフィグに起因するセキュリティ脆弱性が発見されました。ご利用のチームは、十分にご注意ください。なお、同ツールの直近の脆弱性は、2025/03/28 の「Apache Pinot の脆弱性 CVE-2024-56325 が FIX:容易に悪用できる認証バイパス」となります。よろしければ、Apache で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.