CVE-2024-12799 (CVSS 10): OpenText Identity Manager Vulnerability Exposes Sensitive Information
2025/03/09 SecurityOnline — ユーザーの ID/Access を組織で管理するための包括的な ID 管理スイート OpenText Identity Manager に、深刻な脆弱性が存在することが判明した。その脆弱性 CVE-2024-12799 (CVSS:10) の悪用に成功した認証済みの攻撃者は、高権限ユーザーが保持する機密情報へのアクセスの可能性を得る。
この脆弱性が影響を及ぼす範囲は、OpenText Identity Manager Advanced Edition のバージョン 4.9.0.0 以下となる。この問題の原因は、細工されたペイロードを用いる攻撃者に悪用を許す、資格情報の不十分な保護となる。
OpenText のセキュリティ・アドバイザリには、「この脆弱性を悪用する認証済のユーザーは、細工されたペイロードを介して、高権限ユーザーの機密情報を取得できる」と記されている。
すでに OpenText は、緩和策をリリースし、影響を受けるバージョンの Identity Manager の脆弱性に対処している。そのための手順としては、Tomcat サービスの停止と、UIRegistry.jar ファイルのバックアップの後に、OpenText が提供する更新バージョンへの置き換えを行うことが必要となる。
また、バージョン 4.8.6 以下の場合には、特定の Java Development Kit (JDK) のダウンロードとインストールの後に、UIRegistry.jar ファイル内のクラス・ファイルを手動で更新するなどの、追加の手順が必要となる。
OpenText Identity Manager を使用している組織に対して、強く推奨されるのは、セキュリティ・アドバイザリを確認し、速やかに緩和手順を実装して、潜在的な攻撃から保護することだ。このアドバイザリには、Identity Manager の各バージョンに関する詳細手順が含まれ、ユーザーによる脆弱性への効果的に対処と、システムの保護を可能にしている。
OpenText Identity Manager ですが、冒頭では「ID/Access を組織で管理するための包括的な ID 管理スイート 」だと解説されています。この ID 管理スイートで、かなり深刻な脆弱性が発見されました。ご利用のチームは、アップデートとお急ぎください。なお、同社の Web サイトには、「OpenText Identity Manager (NetIQ) は、HR データの同期/プロビジョニング/デプロビジョニング/セキュリティなどのプロセスを合理化することで、全体的な ID/IAM 戦略を強化します。ID ライフサイクル管理/アクセス・リクエスト/リスク評価を簡素化し、組織の IAM フレームワークを強化する」と紹介されています。よろしければ、OpenText で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.