RSA Adaptive Authentication 迄 7.1 P3 Challenge SOAP Call 弱い認証
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
要約
脆弱性が重大として分類され、RSA Adaptive Authentication 迄 7.1 P3で発見されました。 対象となるのは 不明な関数 コンポーネントChallenge SOAP Call Handlerのです。 引数の操作が、 弱い認証をもたらします。 この脆弱性はCVE-2014-4631として取引されています。 影響コンポーネントのアップグレードを推奨します。
詳細
脆弱性が重大として分類され、RSA Adaptive Authentication 迄 7.1 P3で発見されました。 対象となるのは 不明な関数 コンポーネントChallenge SOAP Call Handlerのです。 引数の操作が、 弱い認証をもたらします。 この脆弱性に対応するCWEの定義は CWE-287 です。 この脆弱性は 2014年12月02日に公開されました 、EMCとともに 、ESA-2014-160として 、Postingとして (Bugtraq)。 アドバイザリーは archives.neohapsis.com にてダウンロード用に公開されています。
この脆弱性はCVE-2014-4631として取引されています。 CVEのアサインは2014年06月24日に実施されました。 技術詳細は存在しません。 この脆弱性の一般的な利用度は平均を下回っています。 今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。 本アドバイザリによると、次の通りです:
When requesting device binding in a Challenge SOAP call, permanent device binding takes place regardless of the success or failure of the authentication. This could potentially lead to an authentication bypass scenario. In RSA Adaptive Authentication Integration Adapters, a device binding request is sent in the Challenge SOAP call for Out-of-Band Phone (Authentify) functionality only.
0-dayとして、アンダーグラウンドでの推定価格は$5k-$25k程度でした。
バージョン7.1 P4にアップグレードすることで、この問題に対処できます。 影響コンポーネントのアップグレードを推奨します。
他の脆弱性データベースにもこの脆弱性の情報があります: SecurityFocus (BID 71423), X-Force (99086) , SecurityTracker (ID 1031297).
製品
ベンダー
名前
バージョン
ライセンス
ウェブサイト
- ベンダー: https://www.rsa.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 7.3VulDB 一時的なメタスコア: 6.4
VulDB ベーススコア: 7.3
VulDB 一時的なスコア: 6.4
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 弱い認証CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
アップグレード: Adaptive Authentication 7.1 P4
タイムライン
2014年06月24日 🔍2014年12月02日 🔍
2014年12月02日 🔍
2014年12月04日 🔍
2014年12月04日 🔍
2014年12月08日 🔍
2022年02月27日 🔍
ソース
ベンダー: rsa.com勧告: ESA-2014-160
組織: EMC
ステータス: 確認済み
CVE: CVE-2014-4631 (🔍)
GCVE (CVE): GCVE-0-2014-4631
GCVE (VulDB): GCVE-100-68326
X-Force: 99086 - RSA Adaptive Authentication security bypass, Medium Risk
SecurityFocus: 71423 - RSA Adaptive Authentication (On-Premise) CVE-2014-4631 Authentication Bypass Vulnerability
SecurityTracker: 1031297 - RSA Adaptive Authentication Challenge SOAP Call Device Binding Flaw Lets Remote Users Bypass Authentication
エントリ
作成済み: 2014年12月04日 09:56更新済み: 2022年02月27日 14:21
変更: 2014年12月04日 09:56 (65), 2022年02月27日 14:21 (3)
完了: 🔍
Cache ID: 216:34F:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。