Red Hat OpenShift AI の脆弱性 CVE-2025-10725 が FIX:認証済みユーザーへの過大な権限付与

Red Hat OpenShift AI Vulnerability Lets Attackers Seize Infrastructure Control

2025/10/01 gbhackers — Red Hat OpenShift AI (RHOAI) サービスに発見された深刻な脆弱性を悪用する攻撃者は、最小限のアクセス権限を持ってさえいれば、権限を昇格させてクラスタ全体を制御する可能性を得るという。この脆弱性 CVE-2025-10725 は、ClusterRole の割り当てが過大なことに起因する。たとえば、標準の Jupyter Notebook アカウントを持つ、データ・サイエンティストなどの低権限のユーザーが、この脆弱性を悪用すると、クラスタの完全な管理者権限を取得できる。

具体的には、権限を昇格した攻撃者は、機密データの窃取/サービスの妨害/基盤となるインフラの制御などを介して、プラットフォームとホストされているアプリケーションを、完全に侵害する可能性を手にする。

CVE IDAffected ComponentCVSS v3.1 Score (Red Hat)
CVE-2025-10725Red Hat OpenShift AI Service (rhoai/odh-rhel8-operator, rhoai/odh-rhel9-operator)9.9 (Important)

この脆弱性は、組み込みの “system:authenticated” グループを “kueue-batch-user-role” にリンクする、ClusterRoleBinding の欠陥に起因する。

この欠陥により、すべての認証済みユーザーに対して、クラスタ全体にわたる広範なジョブ作成権限が付与される。この権限を悪用する攻撃者は、昇格された権限で実行される悪意のジョブを作成し、クラスタのコントロール・プレーンを事実上乗っ取ることができる。

Red Hat はこの脆弱性を Critical ではなく Important と評価しているが、その理由は、脆弱性 CVE-2025-10725 の悪用の前提として、認証済みのアカウントが必要になるからである。

しかし、現実の世界でのリスクは深刻である。多くの組織では、クラスタ全体にわたるジョブ作成を必要としないと思われる、データ・サイエンティストやアナリストに広範な権限が付与されている。

このロールを持つ攻撃者は、横方向の移動/永続的な制御の獲得/機密性の高いワークロードの操作などを行う可能性がある。

この問題を軽減するために、管理者にとって必要なことは、問題となっている ClusterRoleBinding を直ちに削除することだ。認証済みユーザー全員に対して広範な権限を付与するのではなく、最小権限の原則の適用が求められる。

  • kueue-batch-user-role を system:authenticated に関連付ける ClusterRoleBinding を削除。
  • ジョブ作成の権限は、それを必要とする特定のユーザー/グループだけに割り当てる。
  • 他の ClusterRoleBinding を確認し、過大な権限の割り当てについて確認する。

これらの手順により、信頼できる ID だけに管理権限を付与することで、リスクの露出を制限し、攻撃対象領域を縮小できる。

脆弱性 CVE-2025-10725 は、CVE Web サイトと NIST NVD で正式に文書化されている。その一方で、Red Hat のサイトは、製品固有の影響評価と修復ガイダンスを提供する、信頼できる情報源である。

この脆弱性が改めて示唆するのは、Kubernetes 環境において過度に権限が付与されたロールがもたらす危険性である。

セキュリティ・チームにとって必要なことは、ロールとバインディングの割り当てを定期的に監査し、実際の業務要件に合わせて権限を調整し、開発/分析/管理の業務を厳密に分離することだ。

AI を活用したプラットフォームの整合性を確保するためには、プロアクティブなクラスタ・ガバナンスと綿密な権限管理により、権限昇格を防ぐ必要がある。

Red Hat OpenShift AI に見つかった脆弱性 CVE-2025-10725 は、ClusterRoleBinding の設定により、認証済みユーザーに過大な権限が与えられることが原因です。通常であれば制限されるはずのジョブ作成権限が、広く付与されていたため、低権限のアカウントであってもクラスタ全体の制御が可能になってしまいます。その結果として、データの窃取/サービス妨害/インフラ操作といった重大なリスクにつながる恐れがあります。文中では緩和策が記されていますが、Red Hat のアドバイザリでは、バージョン 2.16.3 へのアップグレードが推奨されています。よろしければ、カテゴリ AI/ML も、ご参照ください。