プラットフォーム
go
コンポーネント
openobserve
修正版
0.14.2
OpenObserveは、クラウドネイティブのオブザーバビリティプラットフォームです。CVE-2024-55954は、ユーザー管理エンドポイントにおける権限昇格の脆弱性であり、AdminロールのユーザーがRootユーザーを削除できてしまうという深刻な問題を引き起こします。この脆弱性は、OpenObserveのバージョン0.14.0以下に影響を与え、0.14.1で修正されました。攻撃者はこの脆弱性を悪用し、組織全体の制御を奪う可能性があります。
この脆弱性は、攻撃者がOpenObserveのAdminロールのユーザーアカウントを取得した場合に悪用される可能性があります。Adminロールのユーザーは、通常、組織内のユーザー管理タスクを実行する権限を持っていますが、この脆弱性により、Rootユーザーを削除することが可能になります。Rootユーザーは、OpenObserve組織内で最も高い権限を持つため、Rootユーザーを削除することで、攻撃者はOpenObserve環境全体を制御できるようになります。これにより、機密データの漏洩、システムの改ざん、サービス停止などの深刻な被害が発生する可能性があります。この脆弱性は、組織のセキュリティ体制を著しく損なう可能性があります。
この脆弱性は、2025年1月16日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、OpenObserveのRootユーザーは組織内で非常に重要な役割を担っているため、攻撃者からの関心を集める可能性があります。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。
Organizations heavily reliant on OpenObserve for observability and monitoring are at significant risk. Specifically, deployments with poorly configured role-based access controls, where Admin accounts have excessive privileges, are particularly vulnerable. Shared hosting environments utilizing OpenObserve also face increased risk due to potential cross-tenant access issues.
• linux / server: Monitor OpenObserve API logs for requests to /api/{orgid}/users/{emailid} with the removeuserfrom_org function originating from users with the 'Admin' role. Look for unusual patterns or unexpected user removals.
journalctl -u openobserve -f | grep 'remove_user_from_org'• generic web: Use curl to test the API endpoint /api/{orgid}/users/{emailid} with an Admin user's credentials to see if a Root user can be removed.
curl -X DELETE -H "Authorization: Bearer <admin_token>" https://<openobserve_url>/api/<org_id>/users/<root_email>disclosure
エクスプロイト状況
EPSS
0.12% (31% パーセンタイル)
CISA SSVC
CVSS ベクトル
OpenObserveのバージョンを0.14.1以降にアップグレードすることが、この脆弱性に対する最も効果的な対策です。アップグレードが困難な場合は、一時的な回避策として、AdminロールのユーザーがRootユーザーを削除できないように、OpenObserveのアクセス制御リスト(ACL)を厳格に設定することを検討してください。また、WAF(Web Application Firewall)やプロキシサーバーを使用して、悪意のあるリクエストをブロックすることも有効です。OpenObserveのログを定期的に監視し、異常なアクティビティを検出することも重要です。アップグレード後、ユーザー管理機能が正常に動作することを確認してください。
Actualice OpenObserve a la versión 0.14.1 o superior. Esta versión corrige la vulnerabilidad que permite a los usuarios con rol de 'Admin' eliminar usuarios 'Root'. La actualización previene la escalada de privilegios y el control total no autorizado del sistema.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-55954は、OpenObserveのユーザー管理エンドポイントにおける権限昇格の脆弱性です。AdminロールのユーザーがRootユーザーを削除できてしまう問題です。
OpenObserveのバージョンが0.14.0以下を使用している場合は、影響を受けます。
OpenObserveのバージョンを0.14.1以降にアップグレードしてください。
現時点では、CVE-2024-55954を悪用した具体的な攻撃事例は報告されていません。
OpenObserveの公式ウェブサイトまたはセキュリティアナウンスメントをご確認ください。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。