One Identity Safeguard for Privileged Sessions Vulnerable to Authentication Bypass – CVE-2024-40595
2024/10/24 SecurityOnline — One Identity Safeguard for Privileged Sessions (SPS) に、新たな脆弱性 CVE-2024-40595 が発見された。この脆弱性は、SPS の RDP コンポーネントに影響を与えるものだが、接続セットアップ・プロセス中の機密情報の平文送信に起因するものとされる。その悪用に成功した攻撃者は、認証をバイパスして特権セッションに不正アクセスする可能性を得るという。
One Identity のアドバイザリには、「One Identity Safeguard for Privileged Sessions の RDP コンポーネントにおける認証バイパスの脆弱性が悪用されると、中間者攻撃により暗号化されていない情報が取得され、標的リソース上の特権セッションへのアクセスが可能になる」と記されている。この問題は、RDP の接続セットアップ中に発生し、クライアントと SPS アプライアンス間で、機密性の高い情報が平文でやり取りされるという状況を生み出す。
この脆弱性は、SPS のバージョン 7.5.1 未満に影響を及ぼし、LTS に関してはバージョン 7.0.5.1 未満に影響をおよぼす。One Identity は、「不正アクセスの可能性が懸念されるが、この攻撃を不可視で行うことはできない。具体的に言うと、脆弱な機密情報は一度しか使用できず、また、その使用は一定の時間枠内に制限されているため、攻撃を不可視のまま、実行することは不可能である」と指摘している。また、この悪用の範囲は、SPS により記録/監視される単一のセッションに制限されている。したがって、攻撃者はセッションの詳細を変更できず、標的のサーバとアカウントは被害者の接続に応じが固定されたものとなる。
この脆弱性が主として影響を及ぼすのは、接続ポリシーの一部として、Safeguard for Privileged Passwords などの認証情報ストアを使用するシステムになる。この設定が存在しなければ、攻撃者は標的のリソース上で、2番目の認証ステップを完了する必要があり、成功の確率は低いものになる。しかし、この設定が存在する場合には、監視された環境であっても攻撃者は、特権セッションへのアクセスを可能にする。
さらに言えば、RDP 以外のプロトコルには影響が生じないため、SPS アプライアンス自体の完全性も損なわれない。
One Identity が全ユーザーに対して強く推奨するのは、最新のパッチ適用済みバージョンへと、直ちにアップグレードすることである。
One Identity SPS (Safeguard for Privileged Sessions に存在する、脆弱性 CVE-2024-40595 が FIX とのことです。この脆弱性は、SPS の RDP コンポーネントに影響を与えるものであり、接続セットアップ・プロセス中の平文送信に起因するとされます。RDP を利用するチームは、ご注意ください。なお、直近の One Identity SPS 関連の記事は、2024/09/01 の「Safeguard for Privileged Passwords の脆弱性 CVE-2024-45488 が FIX:直ちにアップデートを!」となります。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.