Apache CloudStack Flaw Allows Attackers to Execute Privileged Actions
2025/06/11 gbhackers — OSS のクラウド管理プラットフォームとして業界をリードする Apache CloudStack が発表したのは、複数の深刻なセキュリティ脆弱性に対処する、新たな Long-Term Support (LTS) リリースのバージョン 4.19.3.0/4.20.1.0 の緊急リリースである。2025年6月10日に、Apache PMC (Project Management Committee) メンバーである Pearl Dsilva が公開したアドバイザリでは、5つの脆弱性が指摘されており、そのうち2つは Crutical と評価され、ユーザー・データとインフラストラクチャの整合性に重大なリスクをもたらすという。
重大な脆弱性と悪用シナリオ
最も深刻な問題は、深刻な脆弱性 CVE-2025-26521 であり、CloudStack プロジェクト内における、CKS ベースの Kubernetes クラスターに影響を及ぼすものだ。
Kubernetes クラスターが作成されると、”kubeadmin” ユーザーの API と秘密鍵が、クラスターのシークレット・コンフィグに保存される。しかし、クラスターへのアクセス権を持つプロジェクト・メンバーであれば、これらの認証情報を取得し、クラスター作成者に成りすまし、特権アクションを実行する可能性を手にする。結果として、作成者のリソースが完全に侵害され、機密性/整合性/可用性に問題が発生する可能性がある。
もう1つの深刻な脆弱性 CVE-2025-47713 であり、ROOT ドメインのドメイン管理者ユーザーに対して、管理者ロール・アカウントのパスワード・リセットを許すとされる。この権限昇格の脆弱性が悪用されると、攻撃者による高権限アカウントの乗っ取りが可能になり、データ損失/インフラの中断/機密 API への不正アクセスなどのリスクが高まる。
この脆弱性はバージョン 4.10.0.0 〜 4.20.0.0 に存在する。問題を修正するためには、バージョン 4.19.3.0/4.20.1.0 へのアップグレードが強く推奨される。
これらのパッチは、ロールタイプ階層と API 権限の比較における、厳格な検証を導入している。 新しいドメイン・レベルである、”role.types.allowed.for.operations.on.accounts.of.same.role.type” や “allow.operations.on.users.in.same.account” などの設定により、機密性の高い操作を承認されたロールのみに制限できる。
技術的な修正とベストプラクティス
CVE-2025-26521 の影響を受ける Certified Kubernetes Security (CKS) ユーザーには、以下の修正手順が推奨される。
- Create a Service Account:
“Project Kubernetes Service Role” を持つ新しいアカウントを生成する。そこで用いる命名規則は、kubeadmin-<FIRST_EIGHT_CHARACTERS_OF_PROJECT_ID>である。 - Add to Project:
このサービス・アカウントを、プロジェクトに関連付ける。 - Generate API and Secret Keys:
このアカウントの、デフォルト・ユーザー用の新しいキーを作成する。 - Update Kubernetes Cluster Secret:
kubectl コマンドを使用して、Kubernetes クラスター内の既存のシークレットを新しい認証情報に置き換える。text./kubectl --kubeconfig kube.conf -n kube-system delete secret cloudstack-secret ./kubectl --kubeconfig kube.conf -n kube-system create secret generic cloudstack-secret --from-file=/tmp/cloud-config rm /tmp/cloud-config - Regenerate Original User Keys:
オリジナルのユーザー・アカウントの API キー/シークレット・キーを再生成して、以前の認証情報を無効化する。
その他の脆弱性としては、不正なテンプレート ISO アクセス CVE-2025-30675/ドメイン管理者による APIキーとシークレット・キーへの安全が確保されないアクセス CVE-2025-47849/クォータ関連の権限問題 CVE-2025-22829 などがある。それらにおいても、最新リリースへのアップグレードが修正手順となる。
これらの修正により、適切なドメイン解決/厳格なロール検証/権限管理の改善などが保証される。
リスクの要因とセキュリティへの影響
以下の表は、各脆弱性に関連するリスク要因をまとめたものだ。
| CVE ID | Severity | Affected Versions | Risk Description |
|---|---|---|---|
| CVE-2025-26521 | Critical | 4.17.0.0–4.19.2.0, 4.17.0.0–4.20.1.0 | Project members can access creator’s API/secret keys, leading to impersonation and resource loss |
| CVE-2025-30675 | Low | 4.0.0–4.19.2.0, 4.0.0–4.20.0.0 | Domain/Resource Admins can view templates/ISOs outside their domain, exposing sensitive metadata |
| CVE-2025-47713 | Critical | 4.10.0.0–4.19.2.0, 4.10.0.0–4.20.0.0 | Domain Admins can reset Admin passwords, enabling privilege escalation and system compromise |
| CVE-2025-47849 | Moderate | 4.10.0.0–4.19.2.0, 4.10.0.0–4.20.0.0 | Domain Admins can access Admin API/secret keys, risking impersonation and unauthorized access |
| CVE-2025-22829 | Low | 4.20.0.0 | Authenticated users can enable/disable quota emails and list configurations for any account |
これらの脆弱性の影響を受けるのは、バージョン 4.20.0.0 以下を使用するユーザーである。したがって、4.20.1.0 へとアップグレードする必要があることを、このアドバイザリは推奨している。バージョン 4.19.3.0/4.20.1.0 の公式ソース・コードとリリース・ノートは、Apache CloudStack プロジェクトの Web サイトで入手できる。
これらのセキュリティ・アップデートが強調するのは、クラウド環境における厳格なアクセス制御と権限管理の重要性である。Apache CloudStack を使用している組織は、最新バージョンへのアップグレードを優先し、推奨される修復手順に従うことで、悪用リスクを軽減する必要がある。
パッチ適用後のリリースで導入される、新しいドメイン・レベルの設定と厳格な検証チェックにより、組織は堅牢なセキュリティ体制を維持し、機密データと重要インフラを保護できるようになる。
Apache CloudStack による、緊急リリースの発表がありました。脆弱性 CVE-2025-26521/CVE-2025-47713 は、Kubernetesクラスターや管理者アカウントの、認証情報が不適切に扱われるという点で、とてもクリティカルなものです。ご利用のチームは、ご注意ください。よろしければ、CloudStack で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.