Araştırmacılar, One Identity’nin Ayrıcalıklı Parolalar İçin Koruma (SPP) özelliğini etkileyen ve saldırganların sanal cihaza tam yönetim erişimi elde etmesine olanak tanıyabilecek kritik bir kimlik doğrulama atlama güvenlik açığı olan CVE-2024-45488 hakkında teknik ayrıntıları yayınladı.
“Bir saldırgan cihazda kimliği doğrulanmış bir yönetim oturumu elde ettiğinde, meşru bir yönetici kullanıcının yapabileceği her türlü eylemi gerçekleştirebilir. Buna cihazdaki ayarları yeniden yapılandırma veya yönetilen hesaplarda veya kişisel kasalarda saklanan parolaların çıkarılmasına izin vermek için politikaları değiştirme yeteneği dahildir,” diye açıkladı AmberWolf araştırmacıları.
“Cihaz varsayılan yedekleme şifreleme ayarını (sabit kodlanmış bir RSA anahtarı kullanan) kullanacak şekilde yapılandırılmışsa, saldırgan herhangi bir cihaz yedeğinin bir kopyasını indirip şifresini çözebilir.”
CVE-2024-45488 Hakkında
Ayrıcalıklı Parolalar için One Identity Safeguard, “rol tabanlı erişim yönetimi ve otomatik iş akışlarıyla ayrıcalıklı kimlik bilgileri verme sürecini otomatikleştiren, kontrol eden ve güvence altına alan” bir çözümdür.
CVE-2024-45488 (diğer adıyla “Skeleton Cookie”), saldırganların oturum çerezlerini taklit etmek için kullanabileceği SPP sanal cihaz görüntülerinde sabit kodlanmış bir şifreleme anahtarının varlığından kaynaklanır.
Araştırmacılar David Cash ve Richard Warren’ın kolay anlaşılabilir yazısında, güvenlik açığının keşfi ayrıntılı olarak anlatılıyor ve istismarın eylem halindeki video demosu da yer alıyor.
Sanal cihazınız güvenlik açığına sahip mi?
Araştırmacılar bulgularını paylaştıktan sonra One Identity, güvenlik açığının Azure, AWS, OCI veya diğer resmi olarak desteklenen bulut platformlarında barındırılan fiziksel cihazlarda çalışan dağıtımları etkilemediğini, yalnızca VMware veya HyperV’de barındırılan Ayrıcalıklı Parolalar için Safeguard’ı etkilediğini doğruladı.
Kullanıcılara, düzeltmeyi içeren Safeguard for Privileged Passwords 7.0.5.1 LTS, 7.4.2 veya 7.5.2 sürümüne yükseltmeleri önerildi.
AmberWolf araştırmacıları ayrıca kullanıcıların örneklerinin CVE-2024-45488 istismarına karşı savunmasız olup olmadığını kontrol edebilecekleri bir betik yayınladı.