Podatność w systemie Broadcom PAM (Privileged Access Management) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie poleceń systemowych poprzez wysłanie specjalnie spreparowanego żądania HTTP. Ze względu na brak wymogu uwierzytelnienia i krytyczny wynik CVSS 9.4, podatność stanowi poważne zagrożenie dla infrastruktury zarządzania dostępem uprzywilejowanym.
▸ Pokaż oryginał (EN)
An improper input validation allows an unauthenticated attacker to achieve remote command execution on the affected PAM system by sending a specially crafted HTTP request.
Błąd polega na nieprawidłowej walidacji danych wejściowych (CWE-665 — improper initialization/validation) w komponencie obsługującym żądania HTTP systemu PAM. Atakujący znajdujący się w sieci lokalnej (wektor AV:A) może wysłać specjalnie spreparowane żądanie HTTP bez konieczności posiadania jakichkolwiek poświadczeń. Żądanie to omija mechanizmy uwierzytelnienia i prowadzi do wykonania dowolnych poleceń na poziomie systemu operacyjnego urządzenia PAM.
Atakujący może uzyskać pełną kontrolę nad systemem PAM, w tym wykonywać dowolne polecenia na serwerze, co w przypadku systemu zarządzania dostępem uprzywilejowanym może prowadzić do kompromitacji całej infrastruktury IT — przejęcia kont uprzywilejowanych, dostępu do krytycznych systemów oraz lateral movement w sieci.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Broadcom pod adresem: https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24678. Do czasu zastosowania aktualizacji zaleca się ograniczenie dostępu do interfejsu HTTP systemu PAM wyłącznie do zaufanych segmentów sieci (firewall, segmentacja sieci).
Systemy Broadcom PAM (Privileged Access Management) — konkretne wersje wskazane w referencjach producenta (advisory Broadcom nr 24678)
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X