Kibana CrowdStrike Connector Flaw Exposes Sensitive Credentials
2025/10/07 gbhackers — Kibana CrowdStrike コネクタに存在するセキュリティ上の脆弱性 CVE-2025-37728 (CVSS v3.1:5.4:Medium) により、CrowdStrike の認証情報に攻撃者がアクセスする恐れがある。この脆弱性が影響を及ぼす範囲は、Kibana の複数バージョンにまたがり、それぞれのデプロイメントにおいて認証情報の漏洩の可能性がある。すでに Elastic は、アップデートをリリースし、この問題に対処している。ユーザーに対して強く推奨されるのは、速やかにアップグレードすることである。
脆弱性の詳細
この脆弱性 CVE-2025-37728 は、CrowdStrike コネクタにおける認証情報の不十分な保護に起因している。
Kibana 内では、スペースやワークスペースでコネクタが作成されるごとに、CrowdStrike API へのアクセスに使用される認証情報がキャッシュされる。
それらのスペースにアクセスできる悪意のユーザーは、キャッシュ・メカニズムを悪用することで、他のスペースに属する認証情報を取得する可能性がある。
この問題が影響を及ぼす範囲は、CrowdStrike Connector を使用している全ての Kibana インスタンスにまたがり、認証情報の不正漏洩につながる可能性がある。
影響を受けるバージョン
この脆弱性は、サポートの対象/非対象にかかわらず、すべての Kibana バージョンの、パッチ適用前の CrowdStrike Connector に影響する。
| CVE ID | Affected Versions | Impact | CVSS 3.1 Score |
| CVE-2025-37728 | 7.x: ≤ 7.17.29 8.x: 8.14.0 to 8.18.7 8.19.x: 8.19.0 to 8.19.4 9.0.x: 9.0.0 to 9.0.7 9.1.x: 9.1.0 to 9.1.4 | Partial credential leak | 5.4 |
この脆弱性を悪用しても、直接的なデータの変更/削除は不可能とされるが、漏洩した認証情報を悪用する攻撃者は、CrowdStrike API を照会し、脅威データを収集し、脅威ハンティングのワークフローを操作する可能性を得る。
この脆弱性を悪用する前提として、限定的な権限とユーザー操作が必要だが、機密性が部分的に失われる可能性がある。
影響を受けるバージョンを実行し、CrowdStrike Connector の使用がコンフィグで設定されている、すべての Kibana インスタンスが脆弱である。このインスタンスに含まれるものには、複数のスペースをユーザーが管理する設定があり、それによりダッシュボード/アラート/コネクタが整理されている。
すでに Elastic は、パッチ適用済みバージョンとして 8.18.8/8.19.5/9.0.8/9.1.5 をリリースし、この脆弱性に対処している。影響を受けるバージョンを実行しているユーザーにとって必要なことは、これらのリリースのいずれかに、遅滞なくアップグレードすることだ。
回避策や一時的な緩和策は存在しないため、アップグレードが唯一の有効な対策である。
アップグレード後に、管理者にとって必要なことは、コネクタ設定を確認し、正しく機能していることを確かめ、漏洩した可能性のある認証情報をローテーションすることである。
Kibana の CrowdStrike コネクタ脆弱性は、スペースごとに API 用認証情報をキャッシュする実装において、キャッシュの分離や保護が不十分だった点に起因するものである。そのため、複数のスペースが存在する環境で、キャッシュにアクセスできる攻撃者が、他スペースの認証情報を取得できるという問題が生じています。CrowdStrike API の照会や脅威ハンティングのワークフロー操作に、それらの資格情報が悪用される可能性があります。Elastic は修正版を公開しており、適用後はコネクタ設定の確認と認証情報のローテーションが必要だと指摘しています。ご利用のチームは、ご注意ください。よろしければ、Kibana で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.