20224/05/30 SecurityOnline — Logpoint が発表したセキュリティ・アドバイザリは、SAML 認証モジュールに存在する深刻な脆弱性を伝えるものである。この脆弱性 CVE-2024-36383 (CVSS:9.1) の悪用に成功した攻撃者は、SAML Single Sign-On (SSO) URL レスポンスにおける URL インジェクションを介して、任意のファイル削除を実行する可能性を持つ。
この脆弱性は、SAML SSO-URL レスポンスの state パラメータに起因しており、URL インジェクションにより悪用される可能性がある。この悪用に成功した攻撃者は、影響を受けるシステム上で任意のファイルを削除できる。この欠陥により、システムの完全性と可用性が損なわれ、重大なセキュリティ・リスクが生じる。
SAML 認証により、ユーザーは SAML Identity Providers (IdP) を介して Logpoint にログインできるようになる。そこには、Azure Active Directory 多要素認証を実装する機能も備わっている。この、任意のファイル削除の脆弱性により、ユーザー・アクセスとシステム操作が中断され、セキュリティ侵害の可能性が生じる。
Logpoint 社は、この脆弱性が悪用された証拠を公開していないが、潜在的な影響は深刻である。攻撃者は以下のアクションを実行する可能性がある:
- サービスの停止: 重要なログファイルや設定データを削除し、Logpoint がセキュリティイベントを監視/分析する能力を妨げる。
- データ侵害:Logpoint サーバに保存されている、機密ログ/レポート/顧客データなどを削除する。
- 不正アクセス:設定ファイルが削除された場合において、その結果として生じる不安定性を悪用する攻撃者は、システムを広範にアクセスする可能性を手にする。SAML 認証 v6.0.2 を使用している全て顧客に対して、Logpoint が推奨しているのは、脆弱性 CVE-2024-36383 に対する修正が含まれている、バージョン 6.0.3 へと直ちにアップグレードすることだ。アップグレード・プロセスは簡単であり、Logpoint の管理インターフェイスから実行できる。
さらに、SAML 認証を使用している組織は、SAML ログインまたはファイル削除に関連する不審なアクティビティの有無について、ログを確認する必要がある。
Logpoint のことについて、文中では何の説明もないので、調べてみたら SIEM とのことでした。この種のソフトウェアには、高度な権限が与えられ、また、システムの隅々にまでアクセスが許されるため、侵害が生じると壊滅的な打撃を受けることになります。ご使用のチームは、ご注意ください。よろしければ、SAML で検索 で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.