New Kibana Vulnerabilities Allow Attackers to Embed Malicious Scripts
2025/12/19 gbhackers — Elastic が発表したのは、Kibana の複数バージョンに影響を及ぼす、深刻なクロスサイト・スクリプティング (XSS) の脆弱性に対処する重要なセキュリティ・アップデートである。この脆弱性 CVE-2025-68385 を悪用する認証済みの攻撃者は、他のユーザーに表示される Web ページに悪意あるスクリプトを挿入できるようになる。この欠陥は、Kibana の Vega 可視化コンポーネントを含む Web ページ生成時における入力値のサニタイズ (無効化) 処理が不適切なことに起因する。この脆弱性を悪用する攻撃者により、XSS 攻撃を防ぐために設計された従来のセキュリティ対策が回避される恐れがある。
脆弱性の詳細
コンテンツに埋め込まれた悪意のスクリプトが、そのコンテンツを閲覧するユーザーのブラウザで実行され、機密データやセッション情報を侵害する可能性がある。この脆弱性は CWE-79 (クロスサイト・スクリプティング) に分類され、Vega メソッドの実装全体に影響を及ぼす。この攻撃には攻撃者の認証が必要であるが、同一の Kibana インスタンスにアクセスする複数のユーザーに拡散する可能性があるため、影響は深刻である。
この脆弱性は、7.x ブランチの全バージョンを含む広範な Kibana バージョンに影響する。具体的には、8.x シリーズの 8.0.0 ~ 8.19.8、および 9.x ブランチの 9.0.0 ~ 9.1.8/9.2.0 ~ 9.2.2 が対象となる。
Elastic は、この脆弱性を CVSSv3.1 スコア 7.2 (High) と評価している。このスコアは、ネットワーク経由でリモートからの悪用が可能であること、攻撃の複雑さが低く成功しやすいこと、さらに初回認証後に追加のユーザー操作を必要としないことなどに、複数の問題点を反映したものである。この脆弱性を放置した場合には、複数のシステムにわたるデータの機密性および整合性が侵害される可能性がある。
すでに Elastic は、修正済みバージョンをリリースし、この問題に対処している。組織に対して強く推奨されるのは、Kibana 8.19.9/9.1.9/9.2.3 に直ちにアップグレードすることである。これらのバージョンには、Vega の可視化における悪意の入力を適切にサニタイズし、XSS 防御における整合性の回復が含まれている。
セキュリティ・チームにとって必要なことは、Kibana デプロイメント環境へのパッチ適用を最優先で実施することである。あわせて、認証済みユーザーにより作成された疑わしい可視化設定やコンテンツの存在について、インスタンスを検証することが望まれる。
なお、アップグレードの準備期間中は、ネットワーク・セグメンテーションを実装し、Kibana へのアクセスを信頼できるユーザーのみに限定することが、追加の保護策として有効である。
この問題の原因は、データの可視化を行う Vega というコンポーネントにおいて、Webページを表示する際に入力値を安全な形式に整えるサニタイズ処理が不適切だったことにあります。本来であれば、ユーザーが入力したデータに悪意のスクリプトが含まれていても、システム側で無効化して実行を防ぐ必要があります。しかし、今回の不備により、このガードをすり抜けて他のユーザーのブラウザ上でスクリプトが動かされてしまう状態になっていました。認証済みのユーザーによる操作が前提となりますが、一度悪意のコンテンツが配置されると、多数の利用者に影響が及ぶため、注意が必要です。ご利用のチームは、ご注意ください。よろしければ、Kibana での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.