Critical SUSE Manager Vulnerability Allows Remote Command Execution as Root
2025/07/31 gbhackers — SUSE Manager に、深刻なセキュリティ脆弱性 CVE-2025-46811 (CVSS 4.0:9.3) が発見された。この脆弱性を悪用する未認証の攻撃者は、root 権限での任意のコマンド実行を可能にする。この脆弱性は、SUSE Manager を導入する環境に対して、重大な影響を及ぼすものであり、Critical と評価されている。
脆弱性の概要
この脆弱性は、SUSE Manager の Websocket インターフェイス内の機能における、適切な認証メカニズムの欠如に起因する。具体的に言うと、/rhn/websocket/minion/remote-commands エンドポイントへのアクセス権を持つ任意のユーザーが、この脆弱性をネットワーク経由で悪用することで、root 権限での任意のコマンド実行を可能にする。
| Attribute | Details |
| CVE ID | CVE-2025-46811 |
| CVSS 4.0 Score | 9.3 (Critical) |
この攻撃者は、root アクセスを取得した上で、影響を受けるサーバを無制限に制御できるため、システムのセキュリティが完全に侵害される。
この脆弱性が影響を及ぼす範囲は、コンテナ・バージョン 5.0.5.7.30.1/複数の SLES15-SP4-Manager-Server イメージに加えて、複数バージョンの SUSE Manager となり、その中には SUSE Manager Server Module 4.3 も含まれる。
影響の範囲が広範に及ぶことから、SUSE Manager の導入が進んでいるエンタープライズ環境での、潜在的なリスクが増大している。
この認証バイパスの脆弱性は、影響を受けるシステムに対して、即時的かつ深刻な脅威をもたらす。CVSS 4.0 における基本スコア 9.3 は、この脆弱性の深刻さを示すものであり、機密性/整合性/可用性の各評価項目において高い影響スコアが付与されている。
前述のとおり、この脆弱性を悪用する攻撃者は、特別な権限やユーザー操作を必要としないため、きわめて危険な状況にある。
認証制御を伴わない状態で、Websocket エンドポイントが公開されることで、ダイレクトにリモート・コード実行へと至る経路が形成されている。
したがって、悪用に成功した攻撃者が可能にするものには、バックドアの設置/機密データの窃取/システム・コンフィグの改変に加えて、侵害済みシステムを基点とする企業ネットワーク内部でのラテラル・ムーブメントもある。
この脆弱性は、コンテナ化されたデプロイメントや、Azure/EC2/Google Cloud Engine 向けの各種クラウドプラット・フォーム・イメージを含む、複数の SUSE Manager コンフィグに影響を及ぼす。
ユーザー組織にとって必要なことは、自社環境に存在する全ての SUSE Manager インスタンスを速やかに特定し、最優先でパッチを適用することだ。
すでに SUSE は、この脆弱性に対応するセキュリティ・アップデートを提供している。したがって、それぞれのユーザー組織は、最新版へのアップグレードを速やかに実施するのと並行して、パッチが適用されるまでの間は、ネットワーク・レベルでの制御を通じて、Websocket エンドポイントへのアクセスを制限すべきである。
この脆弱性の重大性と容易な悪用可能性を考慮すると、すべての影響を受けるシステムに対して即時の対応が求められる、緊急セキュリティ・インシデントと見なす必要がある。
SUSE Manager の脆弱性は、きわめて危険なものです。認証なしで root 権限を奪えるため、守るべきシステムのドアが開けっ放しの状態と言えます。すでに修正パッチは提供されていますので、ご確認ください。クラウド環境でも影響が出る可能性があるため、運用中の環境をしっかり確認することが大切だと、この記事は指摘しています。よろしければ、SUSE で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.