Keycloak Patches CVE-2024-3656 Granting Low-Privilege Users Administrative Access
2024/10/10 SecurityOnline — オープンソースの ID/Access 管理プラットフォームである Keycloak がリリースしたのは、低権限ユーザーに対して管理機能への不正アクセスを許す可能性がある、深刻な脆弱性 CVE-2024-3656 (CVSS:8.1) に対するセキュリティ・アップデートである。セキュリティ研究者の Maurizio Agazzini により発見された、この脆弱性は、Keycloak のバージョン 24.0.5 未満の全バージョンに影響を及ぼすものだ。
この脆弱性は、Keycloak の管理用 REST API の特定のエンドポイントに存在する。これらのエンドポイントを悪用することで、低レベルのユーザー・アカウントを持つ攻撃者がコマンドを実行し、通常では管理者専用である機密情報に対して、アクセスを可能にするという状況が生じる。それにより、以下のような深刻なセキュリティ侵害へといたる恐れがある。
- データ侵害:ユーザーの機密データ/システム構成/アプリケーションなどの、機密情報への不正アクセス。
- システム侵害:システム設定の不正な変更が達成され、攻撃者によるサービスの中断や、インフラの制御権限の不正取得にいたる恐れがある。
- 特権の昇格:ユーザー特権の昇格により、Keycloak サーバおよび接続されたアプリケーションの完全な制御が奪われる。
すでに Keycloak は、バージョン 24.0.5 で、この脆弱性に対応している。すべてのユーザーに対して強く推奨されるのは、最新バージョンへと直ちに更新することだ。
ユーザーが行うべきこと
- Keycloak のアップデート:24.0.5 未満の Keycloak を使用している場合には、可能な限り早急に、パッチが適用されたバージョンへとアップグレードする。
- API アクティビティの確認:低権限アカウントからの疑わしい API リクエストの有無について、Keycloak のログを監視する。
- 権限の制限:それぞれのユーザーは、自身のロールに必要とされる最小限の権限のみを持つようにする。
- 最新の入手:Keycloak からの最新のセキュリティ勧告とパッチを、常に最新の状態に保つ。
ユーザー側の迅速な対応により、CVE-2024-3656 がもたらすリスクを軽減し、重要なシステムとデータを保護すべきである。
Keycloak ですが、2024/09/22 にも「Keycloak の脆弱性 CVE-2024-8698 が FIX:認証回避の恐れ」という記事がポストされています。あくまでも、このブログ内でのことですが、これまでは、それほど脆弱性が多くなかったような気がします。このところ、続いていますので、ご利用のチームは、ご注意ください。よろしければ、Keycloak で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.