RSA Adaptive Authentication まで7.1 P3 Challenge SOAP Call 弱い認証

CVSS 一時的なメタスコア現在のエクスプロイト価格 (≈)CTI注目指数
6.4$0-$5k0.00

脆弱性が RSA Adaptive Authentication まで7.1 P3 内に見つかりました。この脆弱性は 重大 として分類されました。 この脆弱性により影響を受けるのは、コンポーネント【Challenge SOAP Call Handler】の未知の機能です。 未知の値で改ざんすることが、 弱い認証を突く攻撃に繋がります。 この問題をCWEでは、CWE-287 と定義しました。 この脆弱性は 2014年12月02日に EMCの「Bugtraq」の Postingにて 「ESA-2014-160」として 紹介されました。 アドバイザリーは archives.neohapsis.com で共有されています。

この脆弱性は CVE-2014-4631 として知られています。 CVEの割り当ては 2014年06月24日 に行われました。 入手できる技術的詳細情報はありません。 入手できるエクスプロイトツールはありません。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。 アドバイザリーは次を指摘しています。

When requesting device binding in a Challenge SOAP call, permanent device binding takes place regardless of the success or failure of the authentication. This could potentially lead to an authentication bypass scenario. In RSA Adaptive Authentication Integration Adapters, a device binding request is sent in the Challenge SOAP call for Out-of-Band Phone (Authentify) functionality only.

0dayとして、推定される闇市場取引価格はおよそ $5k-$25k でした。 】のプラグインを提供しています。

バージョン 7.1 P4 をアップグレードすることで、この問題に対処できます。 影響を受けているコンポーネントのアップグレードを推奨します。 考えられる回避策が、前として脆弱性の公開後公表されました 。

脆弱性は「SecurityFocus (BID 71423), X-Force (99086) , SecurityTracker (ID 1031297)」等の脆弱性データベースにも文書化されています。

製品情報

ベンダー

名前

バージョン

ライセンス

CPE 2.3情報

CPE 2.2情報

CVSSv4情報

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB 方向性: 🔍
VulDB 信頼性: 🔍

CVSSv3情報

VulDB ベースメタスコア: 7.3
VulDB 一時的なメタスコア: 6.4

VulDB ベーススコア: 7.3
VulDB 一時的なスコア: 6.4
VulDB 方向性: 🔍
VulDB 信頼性: 🔍

CVSSv2情報

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
方向性複雑度認証守秘義務性誠実性可用性
解除解除解除解除解除解除
解除解除解除解除解除解除
解除解除解除解除解除解除

VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 🔍

悪用する情報

クラス: 弱い認証
CWE: CWE-287
ATT&CK: 未知

ローカル: いいえ
リモート: はい

可用性: 🔍
ステータス: 未実証

EPSS Score: 🔍
EPSS Percentile: 🔍

価格予測: 🔍
現在の価格評価: 🔍

0-Day解除解除解除解除
本日解除解除解除解除

脅威インテリジェンス情報

関心: 🔍
アクティブ アクター: 🔍
アクティブな APT グループ: 🔍

対策情報

推奨: アップグレード
ステータス: 🔍

0day日時: 🔍

アップグレード: Adaptive Authentication 7.1 P4

タイムライン情報

2014年06月24日 🔍
2014年12月02日 +161 日 🔍
2014年12月02日 +0 日 🔍
2014年12月04日 +2 日 🔍
2014年12月04日 +0 日 🔍
2014年12月08日 +4 日 🔍
2022年02月27日 +2638 日 🔍

ソース情報

ベンダー: rsa.com

アドバイザリー: ESA-2014-160
組織: EMC
ステータス: 確認済み

CVE: CVE-2014-4631 (🔍)
X-Force: 99086 - RSA Adaptive Authentication security bypass, Medium Risk
SecurityTracker: 1031297 - RSA Adaptive Authentication Challenge SOAP Call Device Binding Flaw Lets Remote Users Bypass Authentication
SecurityFocus: 71423 - RSA Adaptive Authentication (On-Premise) CVE-2014-4631 Authentication Bypass Vulnerability

エントリ情報

作成済み: 2014年12月04日 09:56
更新済み: 2022年02月27日 14:21
変更: 2014年12月04日 09:56 (65), 2022年02月27日 14:21 (3)
完了: 🔍

討論

コメントはまだありません。 言語: ja + en.

コメントするにはログインしてください。

Do you need the next level of professionalism?

Upgrade your account now!