Multi Vulnerabilities Discovered in VeridiumID Authentication Platform – Patch Now
2024/04/03 SecurityOnline — 先日の Veridium のセキュリティ・アドバイザリにより明らかになったのは、同社の人気の VeridiumID 認証プラットフォームにおける。一連の深刻な脆弱性の存在である。これらの脆弱性に対してパッチが適用されず、そのまま放置されると、攻撃者による機密ユーザーデータの窃取/ユーザーアカウントの乗っ取り/組織のネットワーク内での悪意のコードの実行などにいたる恐れが生じる。
脆弱性の分類
同社のアドバイザリでは、VeridiumID バージョン3.2.4/3.4.x に影響を及ぼす、4種類の脆弱性についての詳細が提供されている:
CVE-2023-44038:LDAP インジェクションのリスク:認証されていない攻撃者が、ID プロバイダ・ページの脆弱性を悪用することで、登録ユーザに関する情報が収集される可能性が生じる。
CVE-2023-44039:アカウント乗っ取りの脅威 :悪用に成功した内部ユーザーが、悪意を持って認証者を登録し、被害者のアカウントに不正アクセスする可能性が生じる。
CVE-2023-44040:危険なクロス・サイト・スクリプティング (XSS):権限のない攻撃者が、ID プロバイダ・ページにアクセスする正当なユーザーの認証情報を介して、悪意のコードを実行する可能性が生じる。
CVE-2023-45552:管理者ポータルの侵害:管理者ポータルおよびセルフサービス・ポータルに存在する累積型 XSS の脆弱性により、認証された攻撃者が、すべてのユーザア・カウントを侵害する可能性が生じる。
影響と緊急性
安全なログインのために、VeridiumID に依存している組織にとって、これらの脆弱性は憂慮すべきものである。これらの脆弱性の悪用に成功した攻撃者は、機密システム/顧客情報/財務データなどに不正アクセスする可能性を手にする。その影響が広範囲に及ぶ可能性があるため、パッチの適用が緊急の課題となっている。
アクションの呼びかけ
Veridium が推奨するのは、一連の深刻なセキュリティ問題に対処するための、VeridiumID バージョン 3.5.0 以上への早急なアップグレードである。詳細なアップグレード手順は、Veridium の公式ドキュメント・ポータルで参照できる。
脅威を先取りする
バイオメトリック認証が普及し続ける中で、このようなシステム内での脆弱性が発見されている。このインシデントが強調するのは、継続的な警戒および、強固なセキュリティ慣行、セキュリティ勧告への迅速な対応の重要性である。VeridiumID を活用している組織に推奨されるのは、これらの脆弱性からの保護のために、早急にシステムをアップグレードすることである。
VeridiumID について検索したところ、Google Play と Apple App Store で提供されていることが分かりました。Google の方では、「Veridium Biometric AuthenticatorアプリはVeridium IDと連携して、Microsoft Active Directory/Citrix/RADIUS を使用する VPN サービスや、SAML 対応の Web アプリなどに対して、強力な認証と便利なログインを提供するす。このアプリでは、Veridium の4本指 TouchlessID テクノロジまたは、スマートフォンに内蔵されているネイティブの生体認証を使用して、本人確認を行える」と記されていました。
IoT OT Security News 
You must be logged in to post a comment.