CVE-2025-4123 脆弱性：「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に

6月はサイバーセキュリティ担当者にとって波乱に満ちた月となり、セキュリティの状況を揺るがす著名な脆弱性の急増が見られました。「SimpleRMMの脆弱性」が DragonForceランサムウェアグループによって悪用され、 by the DragonForce ransomware group and the active use of the 「CVE-2025-33053 WebDAVゼロデイ脆弱性」がStealth Falcon APTによって活発に使用された後、研究者はさらに別の重大な脅威を特定しました。 by the Stealth Falcon APT, researchers have now identified yet another critical threat.

広く使用されているオープンソース分析プラットフォーム、Grafanaにおける新たにパッチが当てられたゼロデイ脆弱性が深刻なセキュリティ懸念を引き起こしています。この高危険度のクロスサイトスクリプティング（XSS）脆弱性（CVE-2025-4123）は、攻撃者が悪意のあるプラグインを実行し、特権を持たないユーザーアカウントを乗っ取ることを可能にします。修正が提供されているにもかかわらず、46,500以上のインスタンスが脆弱なバージョンを実行しており、潜在的な悪用に対して脆弱です。

Grafanaにおける重大な欠陥は、オープンソースソフトウェアに影響を与える脆弱性が増加していることを改めて思い起こさせます。2025年のオープンソースセキュリティおよびリスク分析（OSSRA） 報告書によれば、分析されたアプリケーションの86％が脆弱なオープンソースコンポーネントを含んでおり、81％が高危険度または重大な脆弱性を抱えていることがわかりました。これらの数字は、新しい脆弱性に対して常に警戒し、セキュリティ専門家が適切な検出コンテンツと高度なツールを必要とする理由を浮き彫りにしています。

SOC Primeプラットフォームにサインアップして 世界的なアクティブ脅威フィードにアクセスし、リアルタイムのサイバー脅威インテリジェンスとキュレーションされた検出アルゴリズムを使用して新たな脅威に対処してください。すべてのルールは、複数のSIEM、EDR、およびデータレイクフォーマットと互換性があり、 MITRE ATT&CK® フレームワークにマッピングされています。さらに、各ルールは CTI リンク、攻撃のタイムライン、監査の設定、トリアージの推奨事項、その他の関連するコンテキストで充実しています。「Explore Detections」ボタンを押して、CVEタグでフィルタされた重大な脆弱性に対する先進的な防御のための検出スタック全体を確認してください。

Explore Detections

セキュリティエンジニアはまた、 Uncoder AI—脅威に基づいた検出エンジニアリング用に特化した非エージェントAIを活用できます。Uncoderを使用すると、防御者は自動的にIOCを実用的なハンティングクエリに変換し、生の脅威レポートから検出ルールを作成し、ATT&CKタグの予測を有効にし、AI駆動のクエリ最適化を活用し、複数のプラットフォームで検出コンテンツを翻訳できます。

CVE-2025-4123 分析

OX Securityによる発見は、 公開されたGrafanaインスタンスの36％が現在クライアント側のオープンリダイレクトの脆弱性を抱えており、悪意のあるプラグインの実行やアカウントの乗っ取りにつながる可能性があることを示しています。さらに多くのシステムがセグメント化されたネットワーク内やファイアウォールの後ろで影響を受けている可能性があります。インターネットに直接接続していない内部Grafana展開でさえも、同じ根本的な脆弱性を悪用する盲目的な攻撃の可能性によりリスクにさらされています。

「The Grafana Ghost」とも呼ばれるこのゼロデイXSS脆弱性（ CVE-2025-4123）は、人気のあるオープンソースの監視および可視化プラットフォームのいくつかのバージョンに影響を与えます。この欠陥は5月に発見され、ベンダーのGrafana Labsによって セキュリティアップデート により5月21日に修正されました。インターネットに直接接続していない内部Grafana展開でさえも、同じ根本的な脆弱性を悪用する盲目的な攻撃の可能性によりリスクにさらされています。

Grafanaのデフォルトのコンテンツセキュリティポリシー（CSP）はある程度の防御を提供しますが、クライアント側の制限のために不十分です。この脆弱性は、被害者が特別に構築された悪意のあるリンクをクリックしたときに始まる一連のエクスプロイトを含んでいます。この武装されたURLは、敵のサーバーからGrafanaに不正なプラグインを読み込むように促します。一度読み込まれると、そのプラグインはユーザーとして任意のコードを実行できます。例えば、被害者のGrafanaのユーザー名やログインメールを攻撃者が制御する値に変更したり、内部サービスにリダイレクトしたりすることが可能です。メールが変更された場合、攻撃者はパスワードのリセットを開始し、被害者のアカウントを完全に制御することができます。

OX Securityの研究者は 実行中のPoCエクスプロイト を使用して、ローカルのGrafanaセットアップにおけるアカウント乗っ取りの成功を示し、この欠陥が利用可能で簡単に武器化できることを証明しました。この脅威はローカルのGrafanaインスタンスにも及びます。PoCのコードに示されているように、脆弱性は完全にクライアント側から引き起こされ、JavaScriptルーティングによりブラウザーの正規化をバイパスします。

Grafana管理者アカウントが危険にさらされると、攻撃者は内部ダッシュボードや運用データへのアクセスを取得し、ログやビジネスインサイトを含むユーザーをロックアウトしたり、アカウントを削除したり、役割をハイジャックしたりすることができます。さらに、CVE-2025-4123の成功した悪用試行は、監視の失敗につながり、重要なシステムへの可視性の喪失をもたらす可能性もあります。

成功した悪用は特定の条件に依存していますが（例えば、ユーザーの操作、アクティブなセッション、デフォルトでは有効になっているプラグイン機能など）、認証要件の欠如と露出したインスタンスの多さが脅威の範囲を大きく拡大させています。

CVE-2025-4123の潜在的な緩和策として、Grafana管理者は パッチが適用されたバージョンのいずれか、10.4.18+security-01、11.2.9+security-01以降、または12.0.0+security-01にアップデートすることを強く勧められます。, including 10.4.18+security-01, 11.2.9+security-01 or later, or 12.0.0+security-01.

Shodanを介して特定された46,000以上のGrafanaインスタンスがある中で、CVE-2025-4123は影響を受けたバージョンを運用する組織にとって重大な脅威をもたらし、侵入のリスクを低減するために迅速かつ積極的な防御戦略が求められています。 SOC Primeプラットフォーム は、AI、オートメーション能力、リアルタイムCTIにサポートされた完全な製品スイートをキュレーションし、 ゼロトラスト の原則の上に構築しており、世界中の組織が攻撃者よりも迅速に行動できるように力を与えます。