CVE-2024-45488: Flaw in Safeguard for Privileged Passwords Enables Unauthorized Access
2024/09/01 SecurityOnline — 組織内の権限資格情報を保護/管理するためのソリューションである、One Identity の Safeguard for Privileged Passwords に、重大な脆弱性 CVE-2024-45488 が発見された。この脆弱性は、同製品のログイン・プロセスに影響するおのであり、その悪用により、機密システムへの不正アクセスの可能性が生じる。
One Identity の Safeguard for Privileged Passwords は、組織におけるパスワードやキーなどの機密情報を一元管理し保護するための、堅牢なプラットフォームである。さらに、この製品は認証情報の保護に加えて、特権アクセスを許可するプロセスを自動化/制御するための、企業のセキュリティ・インフラにおける重要なコンポーネントとして利用されている。
脆弱性 CVE-2024-45488 は、ログイン・プロセス中の Cookie の処理に起因する。この脆弱性の悪用に成功した攻撃者は、セキュリティ制御を迂回してネットワーク内で権限を昇格させることが可能となり、システムへの不正アクセスの可能性を手にする。
この脆弱性は、VMware/Hyper-V の仮想化環境で実行されている Safeguard for Privileged Passwords のインスタンスだけに影響を及ぼすものであり、その他のプラットフォームに対しては影響を与えない。
すでに One Identity Safeguard for Privileged Passwords の バージョン 7.0.5.1 LTS/7.4.2/7.5.2 において、この深刻な脆弱性は修正されている。
VMware/Hyper-V の仮想化環境で、Safeguard for Privileged Passwords を使用している組織に対して強く推奨されるのは、これらのバージョンへと、直ちにアップグレードすることである。アップグレードを怠ると、不正アクセスやサイバー犯罪者に悪用される可能性が生じる。
One Identity Safeguard for Privileged Passwords に、不正アクセスにつながる深刻な脆弱性があるとのことです。CISA-ADP による CVSS v3.1 スコアは 9.8 (Critical) となっています。ご利用のチームは、十分に ご注意ください。なお、上記の NVD ページですが、すでに CVSS 4.0 がデフォルトになっているため、CVSS 3.1 タブをクリックしないと、必要なメタ情報を参照できません。
IoT OT Security News 
You must be logged in to post a comment.