В открытом доступе появились детали эксплуатации критической уязвимости CVE-2025-49825 в Teleport, одном из главных инструментов DevOps для управления доступом к серверам и кластерам Kubernetes. Уязвимость оценивается в 9.8 баллов по шкале CVSS и позволяет злоумышленнику получить права администратора без ввода логина и пароля.
В чем суть проблемы Teleport использует сложную схему аутентификации, но в версиях Community Edition была допущена логическая ошибка при обработке API-запросов. Механизм атаки строится на манипуляции параметрами при обращении к эндпоинту /webapi/auth/webauthn/login. Из-за некорректной валидации на стороне сервера, атакующий может подделать ответ Web Authentication API или пропустить этап проверки фактора, отправив специально сформированный JSON-пейлоад.
- Обход аутентификации (Auth Bypass): Система ошибочно принимает поддельный токен за легитимный.
- Повышение привилегий (Privilege Escalation): Злоумышленник получает права администратора в интерфейсе управления с правами, достаточными для подключения к любым узлам (Node), прописанным в конфигурации Teleport.
Под угрозой находятся Self-Hosted инсталляции Teleport Community Edition. Если ваш инстанс доступен из интернета (а Teleport обычно именно так и стоит) и вы не обновились, ваша инфраструктура открыта.
Критические версии:
- v17.x - уязвимы версии < 17.5.2
- v16.x - уязвимы версии < 16.5.12
- v15.x - уязвимы версии < 15.5.3
В данный момент эксплойт уже не является теорией, метод публично документирован исследователями. Мы рекомендуем:
- Немедленно обновить Teleport до патч-версий (17.5.2+).
- Если обновление невозможно прямо сейчас ограничить доступ к панели Teleport к панели Teleport по белому списку IP на уровне сетевого экрана.
- Провести аудит логов доступа на наличие аномальных успешных входов с неизвестных IP-адресов за последние недели.
