Icinga 2 の脆弱性 CVE-2025-48057 が FIX:OpenSSL の旧バージョンによる証明書の不正取得

Critical Icinga 2 Vulnerability Allows Attackers to Bypass Validation and Obtain Certificates

2025/05/30 CyberSecurityNews — Icinga 2 モニタリング・システムに、深刻なセキュリティ脆弱性 CVE-2025-48057 (CVSS:9.3) が発見された。この脆弱性を悪用する攻撃者は、証明書の検証を回避し、信頼できるネットワーク・ノードを装う正規の証明書を取得できるという。この脆弱性は、OpenSSL の旧バージョンを取り込んだ、インストール・イメージに影響を与えるものであり、すでに Icinga 開発チームから、セキュリティ・アップデートが提供されている。

この脆弱性を抱えるシステムを実行している組織には、特に OpenSSL バージョンを取り込んだ Red Hat Enterprise Linux 7/Amazon Linux 2 ディストロを使用している組織には、速やかなパッチ適用が強く推奨される。

Icinga 2 の深刻な脆弱性 CVE-2025-48057

このセキュリティ脆弱性は、Icinga 2 の VerifyCertificate() 関数に存在する。この関数が攻撃者に操作されると、悪意の証明書が、誤って正規の証明書として検証される可能性が生じる。

したがって、細工した証明書リクエストを送信する攻撃者は、それを既存の証明書の更新として処理させることで脆弱性 CVE-2025-48057 をトリガーし、最終的には Icinga 証明機関により署名された有効な証明書を取得してしまう。

この脆弱性は、OpenSSL バージョン 1.1.0 未満の振る舞いに起因する。この OpenSSL の動作により、証明書オブジェクト内に格納された “valid” フラグが検証操作において保持され、特定の検証手順が省略されるという。

このフラグが、以前の操作で設定された状態を維持すると、後続の証明書検証で誤った結果が生成され、無効な証明書が検証を通過していく可能性が生じる。

この脆弱性の影響は、単純な証明書偽造に留まらない。この脆弱性を悪用する攻撃者は、マスターやサテライトなどの信頼できるクラスタ・ノードを装うことも可能にする。

つまり、攻撃者は、正当なインフラ・コンポーネントに成りすまし、他ノードへの破損したコンフィグ更新の提供や、リモート・システム上での任意のコマンド実行、そして、機密性の高いモニタリング・データの抽出などを引き起こす可能性を得る。

この脆弱性は、複数の Icinga ノードが、TLS 暗号化接続を介して通信する分散モニタリング環境に対して、特に強く影響する。

Risk FactorsDetails
Affected ProductsIcinga 2 installations compiled with OpenSSL versions older than 1.1.0 which was released in 2016, Red Hat Enterprise Linux 7 (RHEL 7) and Amazon Linux 2
ImpactObtain valid certificates
Exploit PrerequisitesThe attacker must have direct TLS network access to an Icinga 2 master node capable of signing certificates. No authentication or user interaction is required
CVSS 3.1 Score9.3 (Critical)
影響を受けるシステム

この脆弱性は、2016年にリリースされた OpenSSL バージョン 1.1.0 未満でコンパイルされた、Icinga 2 インストールに特に影響する。

管理者は icinga2 –version | grep OpenSSL を実行することで、基盤となる OpenSSL のバージョンを確認し、この脆弱性の影響の有無を確認できる。

Red Hat Enterprise Linux 7 と、その派生製品である Amazon Linux 2 などは、デフォルトで OpenSSL 1.0.2 が組み込まれているため、特に脆弱です。

この脆弱性を悪用する攻撃者は、その前提として、証明書に署名できる Icinga マスター・ノードに対して、ダイレクトに TLS 接続する必要がある。この脆弱性は、他のノード・タイプでも発生する可能性があるが、そのリクエストはマスター・ノードに転送され、実際に証明書に署名が行われる前に、誤ったログ・メッセージを生成するだけである。

すでに Icinga は、この脆弱性を修正した、パッチバージョン 2.14.6/2.13.12/2.12.12 をリリースしている。

これらのアップデートでは、同じ VerifyCertificate() 関数で発見された、別の解放後使用の脆弱性も修正されており、Windows インストール用の OpenSSL アップデートも取り込まれている。

脆弱な OpenSSL バージョンを実行しているマスター・ノードが、主要な攻撃ベクターとなるため、これらのマスター・ノードの速やかなアップグレードを、優先する必要がある。

迅速なパッチ適用が不可能な環境では、一時的な回避策として、マスター・ノードへのネットワーク・アクセスの制限もしくは、”/var/lib/icinga2/ca” ディレクトリの名前を変更し、証明書の署名を一時的に無効化する方法が挙げられている。

ただし、後者のアプローチでは、新しいノードの登録と証明書の更新が妨げられるため、短期的な保護を達成するだけとなる。

Icinga 2 における深刻な脆弱性 CVE-2025-48057 により、正規の証明書の不正取得を攻撃者に許すリスクが生じるため、とても懸念される状況となっています。特に、古い OpenSSL を使用する環境では影響が大きく、迅速なパッチ適用が強く求められます。よろしければ、Icinga で検索も、ご参照ください。