IBM Security Verify Access Appliance w wersjach 10.0.0–10.0.8 zawiera zakodowane na stałe poświadczenia (hasła lub klucze kryptograficzne). Podatność jest krytyczna, ponieważ pozwala atakującemu na nieautoryzowany dostęp bez konieczności posiadania jakichkolwiek uprawnień.
▸ Pokaż oryginał (EN)
IBM Security Verify Access Appliance 10.0.0 through 10.0.8 contains hard-coded credentials, such as a password or cryptographic key, which it uses for its own inbound authentication, outbound communication to external components, or encryption of internal data.
Podatność polega na obecności w oprogramowaniu statycznych, zakodowanych na stałe poświadczeń (CWE-798), które mogą być wykorzystywane do uwierzytelniania przychodzącego, komunikacji z zewnętrznymi komponentami lub szyfrowania wewnętrznych danych. Atakujący, który pozna te poświadczenia (np. poprzez analizę oprogramowania), może je wykorzystać do uzyskania dostępu do urządzenia lub komunikujących się z nim systemów. Ponieważ atak nie wymaga uwierzytelnienia ani interakcji użytkownika, a wektor ataku jest sieciowy, próg wejścia jest bardzo niski.
Atakujący może uzyskać nieautoryzowany dostęp do systemu, przejąć kontrolę nad chronionymi danymi lub zakłócić działanie komponentów infrastruktury bezpieczeństwa, co prowadzi do naruszenia poufności i integralności danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ibm.com/support/pages/node/7177447
IBM Security Verify Access Appliance w wersjach 10.0.0 do 10.0.8 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:LIBM Security Verify Access
APPIbm10.0.0 – 10.0.8
Powiązane podatności
Privilege escalation do root w IBM Security Verify Access i Verify Identity Access
IBM Security Verify Access — privilege escalation do root przez nadmiarowe uprawnienia
IBM Security Verify Access — zakodowane na stałe poświadczenia (hard-coded credentials)
IBM Security Verify Access — zdalne wykonanie poleceń (command injection)
IBM Security Verify Access 10.0.0.0, 10.0.1.0 and 10.0.2.0 with the advanced access control authentication ser...