CVE-2024-56404 (CVSS 9.9): Critical Vulnerability Discovered in One Identity Manager
2025/01/27 SecurityOnline — 世界中の組織で使用されている人気の ID/Access 管理ソリューション One Identity Manager に、重大なセキュリティ脆弱性 CVE-2024-56404 (CVSS:9.9) が発見された。この脆弱性の悪用に成功した攻撃者は、権限の昇格を達成し、機密のシステム/データへの不正アクセスの可能性を得る。
One Identity Manager は ID 管理プロセスを合理化し、ユーザー ID/アクセス権限/セキュリティ・ポリシーの効率的な管理を、組織に提供することで評価されている。しかし、この新たに発見された、安全が確保されない IDOR (Insecure Direct Object Reference) の脆弱性は、システムの堅牢なセキュリティ体制に支障をきたすものである。
One Identity は公式のセキュリティ・アラートで、「Identity Manager に IDOR の脆弱性が発見され、特定のコンフィグでは不正な権限昇格の可能性が生じている」と警告している。
危険にさらされるのは?
脆弱性 CVE-2024-56404 が影響を及ぼす範囲は、One Identity Manager のオンプレミス・インストールにおける、バージョン 9.0.x 〜 9.2.1 となる。なお、クラウド・ベースの “On Demand” バージョンを使用しているユーザーは影響を受けない。
緊急の対応が必要
One Identity がユーザーに推奨するのは、リスクを軽減するための迅速な対応である。同社のアドバイザリには、「使用中のバージョンに対して、以下の適切な修正プログラムを適用するか、可能な限り早急な 9.3 へのアップグレードを強く推奨する」と記されている。修正プログラムは、次のバージョンに対して提供されている:
- 9.0.x LTS CU3
- 9.1x
- 9.2.x
修正プログラムの適用に関する詳細な手順は、One Identity ナレッジ・ベースの記事 KB4378024 に記載されている。また、バージョン 9.0.x LTS のユーザーは、修正プログラムをインストールする前に、CU3 を適用する必要があることに注意してほしい。
One Identity Manager に依存している組織は、システムに対して速やかにパッチを適用し、侵害を防止することで、貴重なデータや業務を保護してほしい。
One Identity Manager の深刻な脆弱性が FIX しました。オンプレ環境で、ご利用のチームは、ご注意ください。前回の One Identity 関連の記事は、2024/10/24 の「One Identity の脆弱性 CVE-2024-40595 が FIX:RDP 認証バイパスの恐れ」です。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.