Securden Unified PAM Flaw Allows Attackers to Bypass Authentication
2025/08/26 gbhackers — Securden Unified PAM は、包括的特権アクセス管理プラットフォームであり、多様な環境における人間/マシン/AI の ID 認証情報を保存/管理/監視するものだ。Rapid7 の Vector Command を用いるレッドチーム演習により、セキュリティ研究者たちが発見したのは、このプラットフォームに存在する、認証バイパス/無制限ファイル・アップロード/パス・トラバーサル/共有インフラリスクなどの、4件の深刻な脆弱性である。それらを悪用する攻撃者は、機密パスワードの取得/任意のコード実行/マルチテナント・ゲートウェイ侵害などの可能性を手にする。
Aaron Herndon/Marcus Chang たちで構成される Rapid7 のチームが、模擬的な敵対テスト中に、これらの脆弱性を特定した。それにより明らかにされたのは、特権アクセス制御/セッション管理/統合 Active Directory 管理などが、標的化されるほどの深刻さである。
これらの脆弱性が影響を及ぼす範囲はバージョン 9.0.x ~ 11.3.1 であり、Rapid7 と Securden の連携により、すでにバージョン 11.4.4 がリリースされ、この問題は対処されている。
継続的なレッドチーム演習
最も深刻な CVE-2025-53118 (CVSS:9.4) は、”/thirdparty-access” や “/get_csrf_token” エンドポイントから取得したセッション Cookie や CSRF トークンの操作を、未認証の攻撃者に対して許すものであり、その結果として認証バイパスが可能になる。
攻撃ベクター (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)
このバイパスを達成した攻撃者は、管理者バックアップ機能の制御を可能にする。具体的には、”/configure_schedule” エンドポイントで SCHEDULE_ENCRYPTED_HTML_BACKUP パラメータを指定することで、暗号化パスワードのエクスポートなどが可能になる。
攻撃者が指定できるものには、リモート SMB 共有やアプリケーションの “/static/” webroot などの、カスタム・パスフレーズや出力先があるため、パスワード/シークレット/セッション・トークンを含む、復号済みバックアップの外部流出が引き起こされる。
また、スーパー管理者アカウントが無効化されている場合であっても、攻撃者はスケジュール・タイプとして DATABASE_BACKUP を使用することで、DB の完全バックアップを強制実行できる。それによりアクティブな Django セッション Cookie を抽出して、セッション・ハイジャクを行い、その後に、正規の API を通じて認証情報を取得できる。
さらに、悪用の前提としては、サーバ・エラーを回避するための X-Requested-With ヘッダーの省略が必要となる。ただし、ファイル名は日付ベースで部分的に推測が可能であるため、この手法により、数分ごとにバックアップを繰り返して実行し、有効なユーザー・セッションを捕捉し、なりすまし攻撃の可能性を高められる。
その他の脆弱性 CVE-2025-53119 (CVSS 7.5)/CVE-2025-53120 (CVSS 9.4) は、”/accountapp/upload_web_recordings_from_api_server” における未認証ファイル・アップロード/パス・トラバーサル欠陥である。前者は任意ファイルのアップロードを許可し、後者は relative_path パラメータによる重要ファイルの上書きを許すものだ。
したがって攻撃者は、”postgresBackup.bat” をリバースシェル・ペイロードに置換して、定期的な DB バックアップ中におけるリモート・コード実行 (RCE) できる。これらの脆弱性は、バージョン 11.1.x 以降において悪用が可能だが、バージョン 9.0.1 は影響を受けない。また、認証バイパスと組み合わせることで、未認証の RCE に発展するため、サーバ上での特権的な OS コマンド実行が可能となる。この連鎖が浮き彫りにするのは、このプラットフォームにおける入力サニタイズとアクセス制御の不備であり、サーバの完全な侵害を引き起こす可能性がある。
共有インフラのリスク
最後の脆弱性 CVE-2025-6737 (CVSS 7.2) は、Securden Remote Vendor Gateway ポータルに起因する。このポータルは、SSH キー/アクセス・トークン/クラウド・インフラを、複数テナント間で共有するものだ。
Rapid7 は静的キー “tunnel-user-key.pem” による、共通サーバ (例: 18.217.245.55:443) へのリバース SSH トンネルが可能になることを確認し、共有認証情報を通じて内部 PAM インスタンスが露出していることを突き止めた。
このマルチ・テナント設定では、ゲートウェイへの低権限アクセスであっても、複数の顧客に対する横断的なエクスプロイトが可能であり、外部接続やサービス再起動時の一時キーの取得が、ログ解析により確認された。
さらに、”reversetunnelcreator.log” には外部接続が記録されているため、ファイル・イベントの監視による、サービス再起動時の一時鍵の捕捉が可能になるという、分離対策の不備が確認された。
ーーーーー
すでに Securden (CEO:Bala Venkatramani) は、バージョン 11.4.4 のリリースにより、すべての問題を迅速に修正している。同社が強調するのは、研究者との連携による、セキュリティ強化への取り組みである。
これらの脆弱性が示唆するのは、PAM による認証情報管理に依存する環境で、ランサムウェア展開/データ侵害/サプライチェーン攻撃などが引き起こされる可能性である。したがって、ユーザーに対して推奨されるのは、速やかなアップデートとなる。Rapid7 による開示は、同社のポリシーに準拠しており、継続的なレッドチーム活動による、セキュリティ強化の価値を示すものである。
Securden Unified PAM に存在する、複数の深刻な脆弱性が FIX しました。全体と通じて目立つのは、認証や入力処理の不備です。特に CVE-2025-53118 では、セッション Cookie や CSRF トークンの不十分な検証により、未認証の状態でバイパスが可能となっていました。また、CVE-2025-53119/53120 ではファイル・アップロードやパス・トラバーサル処理に制限がなく、任意ファイルの配置や重要ファイルの上書きが可能になります。したがって、共有インフラを扱う設定では、複数テナントに横断的な影響を及ぼすリスクが示されると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、カテゴリ AuthN AuthZ を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.