IBM Security Verify Access Appliance w wersjach 10.0.0–10.0.8 zawiera poświadczenia zakodowane na stałe w kodzie aplikacji (hasła lub klucze kryptograficzne). Podatność jest krytyczna, ponieważ atakujący bez żadnego uwierzytelnienia może wykorzystać te dane do nieautoryzowanego dostępu do systemu lub jego komponentów.
▸ Pokaż oryginał (EN)
IBM Security Verify Access Appliance 10.0.0 through 10.0.8 contains hard-coded credentials, such as a password or cryptographic key, which it uses for its own inbound authentication, outbound communication to external components, or encryption of internal data.
Aplikacja przechowuje w swoim kodzie lub konfiguracji stałe poświadczenia (CWE-798), które są używane do uwierzytelniania przychodzącego, komunikacji wychodzącej z zewnętrznymi komponentami lub szyfrowania danych wewnętrznych. Ponieważ wartości tych poświadczeń są identyczne we wszystkich instalacjach produktu, każdy kto pozna ich treść — np. przez analizę oprogramowania lub wyciek — może je bezpośrednio wykorzystać. Atakujący nie musi posiadać żadnych uprawnień ani interakcji użytkownika, a atak możliwy jest zdalnie przez sieć.
Atakujący może uzyskać nieautoryzowany dostęp do urządzenia lub powiązanych komponentów, co prowadzi do naruszenia poufności i integralności danych, a w określonych scenariuszach również do częściowej utraty dostępności usług.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ibm.com/support/pages/node/7177447. Zaleca się niezwłoczną aktualizację do wersji wykraczającej poza 10.0.8 oraz — do czasu wdrożenia patcha — ograniczenie dostępu sieciowego do urządzenia wyłącznie do zaufanych hostów za pomocą firewall i segmentacji sieci.
IBM Security Verify Access Appliance w wersjach 10.0.0 do 10.0.8 (włącznie).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:LIBM Security Verify Access
APPIbm10.0.0 – 10.0.8
Powiązane podatności
Privilege escalation do root w IBM Security Verify Access i Verify Identity Access
IBM Security Verify Access — privilege escalation do root przez nadmiarowe uprawnienia
IBM Security Verify Access — zakodowane na stałe poświadczenia (hard-coded credentials)
IBM Security Verify Access — zdalne wykonanie poleceń (command injection)
IBM Security Verify Access 10.0.0.0, 10.0.1.0 and 10.0.2.0 with the advanced access control authentication ser...