プラットフォーム
go
コンポーネント
github.com/cilium/cilium
修正版
1.17.15
1.18.1
1.19.1
1.17.14
1.17.14
1.17.14
CVE-2026-33726は、Cilium L7プロキシにおいて、Kubernetes NetworkPolicyをバイパスする可能性のある脆弱性です。この脆弱性により、同じノード間のトラフィックが意図しないアクセスを受ける可能性があります。修正パッチは利用可能です。詳細については、関連情報を参照してください。
CiliumのCVE-2026-33726は、L7プロキシに影響を与え、同じKubernetesノード内のトラフィックが定義されたネットワークポリシーをバイパスする可能性があります。これは、ポッドがネットワークポリシーの承認なしに同じノード上の別のポッドと通信できることを意味し、期待されるネットワーク分離が損なわれる可能性があります。CVSSスコアは5.4で、中程度のリスクを示します。この脆弱性は、Ciliumが同じノードのシナリオでL7トラフィックのルーティングをどのように処理するかという点にあります。攻撃者がこの欠陥を利用できる場合、クラスター内の機密リソースにアクセスしたり、サービスを中断したりする可能性があります。特に、機密データを保護したり、重要なアプリケーションへのアクセスを制限したりするためにネットワークポリシーが使用されている場合に影響が大きくなります。
CVE-2026-33726の悪用には、Kubernetesクラスターへのアクセスと、CiliumのL7プロキシの仕組みの理解が必要です。攻撃者は、ネットワークポリシーが正しく適用されているかどうかを判断するために、同じノード上のポッド間で悪意のあるトラフィックを送信しようとする可能性があります。この脆弱性は、L7プロキシが同じノードから発生し、宛先となるトラフィックに対してネットワークポリシーのルールを正しく適用しない場合に発生します。悪用の複雑さは、クラスター構成と攻撃者がトラフィックを操作する能力によって異なります。実際に悪用事例は報告されていませんが、Ciliumを使用し、ネットワーク分離にネットワークポリシーに依存するKubernetesクラスターにとって、この脆弱性は大きなリスクをもたらします。
エクスプロイト状況
EPSS
0.01% (1% パーセンタイル)
CISA SSVC
CVSS ベクトル
CVE-2026-33726の主な軽減策は、Ciliumをバージョン1.17.14以降にアップグレードすることです。このバージョンには、L7プロキシの脆弱性を修正する修正が含まれています。アップグレード中に、潜在的な影響を最小限に抑えるために、既存のネットワークポリシーを見直し、強化することをお勧めします。特に機密データを処理するポッドについては、より制限の厳しいネットワークポリシーの使用を検討してください。Ciliumログの異常な動作の監視は、潜在的な悪用試行を検出するのに役立ちます。さらに、ポッドがアクセスする必要のあるリソースのみにアクセスできるように、最小特権の原則を適用することが重要です。アップグレードは、本番環境に展開する前にテスト環境で実行する必要があります。
Ciliumをバージョン1.17.14、1.18.8、または1.19.2以降に、ご使用のバージョンブランチに応じてアップグレードしてください。これにより、同じノード上のローカルトラフィックに対するKubernetesネットワークポリシーのバイパスを可能にする脆弱性が修正されます。
脆弱性分析と重要アラートをメールでお届けします。
Ciliumは、ネットワーク接続、セキュリティ、および可観測性を提供するKubernetes用の高性能ネットワークレイヤーです。
NetworkPolicyは、ポッドがどのように相互に通信できるかを定義し、Kubernetesクラスター内のネットワークトラフィックに対するきめ細かい制御を提供します。
インストールされているCiliumのバージョンを確認してください。1.17.14より前の場合は、脆弱です。また、ネットワーク分離が期待どおりであることを確認するために、ネットワークポリシーを確認してください。
アップグレードできない場合は、リスクを軽減するためにネットワークポリシーを見直し、強化してください。Ciliumログを監視してください。
脆弱性をスキャンするツールを使用して、脆弱なCiliumバージョンを特定し、軽減手順を提案できます。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。