CVE-2025-24977: Critical RCE Flaw in OpenCTI Platform Exposes Infrastructure to Root-Level Attacks
2025/05/07 SecurityOnline — サイバー脅威インテリジェンスの管理に用いられる OSS ソリューション OpenCTI プラットフォームに、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-24977 (CVSS:9.1) を悪用する攻撃者は、ホスティング・インフラ上でコマンドを実行し、機密情報へのアクセスを可能にするという。
OpenCTI は、サイバー脅威に関する技術的情報と非技術的情報に対して、構造化/保存/整理/視覚化を提供するために設計されている。したがって、この新たに発見された脆弱性により、OpenCTI を利用する組織に重大なリスクが生じることになる。
この脆弱性は、OpenCTI の Web フック機能に存在する。同社のアドバイザリには、「OpenCTI の Web フック機能により、Web フック経由で送信されるメッセージのユーザー・カスタマイズが可能になる。この機能は、ユーザーが Web フック・テンプレート・フィールドにユーザーが入力する、JavaScript をベースに構築される」と記されている。
さらに同社は、「根本的な問題は、この機能を悪用する脅威アクターが、OpenCTI が実行されているホスティング環境でコマンドを実行できることだ。Web フックの JavaScript コードには、外部モジュールの使用を阻止する保護レイヤーが追加されている、これらにはバイパスの可能性がある」と述べている。
このアドバイザリは、OpenCTI の一般的な導入方法に関連する、重大なリスクを強調している。
同社は、「OpenCTI の一般的な実装は、Docker 内または Kubernetes クラスター内のコンテナ内にホストされる。これらの設定では、機密情報は環境変数を介してコンテナに渡される。この環境変数は、Web フックの JavaScript からアクセスできる。したがって、コンテナ環境内に保存されている機密情報に、攻撃者がアクセスする可能性が生じている」と説明している。
この脆弱性の、潜在的な影響は深刻である。悪意のユーザーが、コンテナ内で root シェルを取得できるため、インフラ環境が、さらなる攻撃や脆弱性にさらされる可能性がある。この脆弱性の悪用に成功した攻撃者は、データ侵害/システム侵害などに加えて、影響を受けるネットワーク内でのラテラル・ムーブメントなどの、さまざまな悪意のアクティビティを引き起こす可能性を得る。
- 影響を受ける OpenCTI プラットフォームのバージョン:6.4.8
- この脆弱性を修正したパッチ適用バージョン:6.4.11
OpenCTI プラットフォームのユーザーに対して強く推奨されるのは、OpenCTI プラットフォーム・インスタンスをバージョン 6.4.11 以降へとアップグレードし、脆弱性 CVE-2025-24977 によるリスクを軽減することだ。
OpenCTI に深刻な脆弱性 CVE-2025-24977 が発生しています。ご利用のチームは、迅速なアップデートを、ご検討ください。なお、同ツールについては、2024/08/21 の「OpenCTI は OSS の脅威インテリジェンス・プラットフォーム:既存の関係から新たな関係を推論」でも、取り上げています。よろしければ、カテゴリ SecTools と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.