Yubico Addresses Authentication Bypass Vulnerability CVE-2025-23013 in pam-u2f Package
2025/01/16 SecurityOnline — セキュリティ・キーおよび認証ソリューションの、大手プロバイダである Yubico が公開したセキュリティ勧告は、同社の OSS パッケージ pam-u2f に存在する認証バイパスの脆弱性 CVE-2025-23013 に対応するものだ。
pam-u2f パッケージは、macOS/Linux システムに PAM (Pluggable Authentication Module) を提供し、YubiKey などの FIDO 準拠の認証デバイスを用いる認証を提供するものだ。しかし、新たに発見された脆弱性 CVE-2025-23013 が悪用されると、低特権のユーザー・アクセス権を持つ攻撃者に対して、特定の条件下における認証の回避を許すことになりかねない。
脆弱性 CVE-2025-23013 の根本原因は、pam_sm_authenticate() 関数にある。この関数は、メモリ割当ての失敗やコンフィグ・ファイルの欠落といった、特定のエラー状況下において PAM_IGNORE レスポンスを返してしまうという欠陥を持つ。この PAM_IGNORE レスポンスは不適切な認証判断につながり、一次/二次認証要素の検証の回避を、攻撃者に許す可能性が生じる。
Yubico はアドバイザリで、「モジュールが PAM_IGNORE を返した場合には、PAM により実行される最終的な認証判断に寄与できなくなる」と述べている。
この脆弱性の深刻度は、pam-u2f の設定方法に応じて異なるものとなる:
- ユーザー管理の認証ファイル:認証ファイルがユーザーのホーム・ディレクトリに保存され、pam-u2f が nouserok オプションを有効化した、単一要素の認証方法として使用されている場合:攻撃者は、認証ファイルを改ざんして、認証バイパスの可能性を得る。
- 中央管理された認証ファイル:認証ファイルがセンター管理され、pam-u2f が第2認証方式として使用されている場合:攻撃者は、メモリ割り当てエラーを悪用して、第2認証の検証を無効化する可能性を手にする。
- 単一認証方式と非認証モジュール:pam-u2f が単一認証方式として非認証 PAM モジュールと共に使用されている場:攻撃者は PAM_IGNORE レスポンスを悪用して、すべての認証チェックをバイパスする可能性を得る。
すでに Yubico は、pam-u2f のバージョン 1.3.1 をリリースし、脆弱性 CVE-2025-23013 に対処している。すべてのユーザーに推奨されるのは、この最新バージョンへのアップグレードである。アップグレードが難しいユーザーに対しては、代替的な緩和策も提供されている。
Yubico の OSS パッケージ pam-u2f に存在する、認証バイパスの脆弱性が FIX しました。このパッケージは、macOS/Linux システムに PAM を提供すると解説されています。ご利用のチームは、ご注意ください。よろしければ、Yubico で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.