RSA Adaptive Authentication até 7.1 P3 Challenge SOAP Call Autenticação fraca
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
Sumário
Foi detectada uma vulnerabilidade classificada como crítico em RSA Adaptive Authentication até 7.1 P3. O impacto ocorre em uma função desconhecida no componente Challenge SOAP Call Handler. A utilização pode causar Autenticação fraca. Esta vulnerabilidade é referenciada como CVE-2014-4631. Não há exploit disponível. É recomendado que o componente afetado seja atualizado.
Detalhes
Foi detectada uma vulnerabilidade classificada como crítico em RSA Adaptive Authentication até 7.1 P3. O impacto ocorre em uma função desconhecida no componente Challenge SOAP Call Handler. A utilização pode causar Autenticação fraca. A definição de CWE para a vulnerabilidade é CWE-287. A falha foi publicada 02/12/2014 com EMC como ESA-2014-160 como Posting (Bugtraq). O aviso pode ser baixado em archives.neohapsis.com.
Esta vulnerabilidade é referenciada como CVE-2014-4631. A designação do CVE foi realizada em 24/06/2014. Não existem detalhes técnicos acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Não há exploit disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. O aviso aponta:
When requesting device binding in a Challenge SOAP call, permanent device binding takes place regardless of the success or failure of the authentication. This could potentially lead to an authentication bypass scenario. In RSA Adaptive Authentication Integration Adapters, a device binding request is sent in the Challenge SOAP call for Out-of-Band Phone (Authentify) functionality only.
Esperamos que o dia 0 tenha valido aproximadamente $5k-$25k.
Fazer upgrade para a versão 7.1 P4 pode mitigar este problema. É recomendado que o componente afetado seja atualizado.
A vulnerabilidade também está documentada em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 71423), X-Force (99086) e SecurityTracker (ID 1031297).
Produto
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.rsa.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 7.3VulDB Meta Pontuação Temporária: 6.4
VulDB Pontuação Base: 7.3
VulDB Pontuação Temporária: 6.4
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Autenticação fracaCWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não provado
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo 0-dia: 🔍
Atualização: Adaptive Authentication 7.1 P4
Linha do tempo
24/06/2014 🔍02/12/2014 🔍
02/12/2014 🔍
04/12/2014 🔍
04/12/2014 🔍
08/12/2014 🔍
27/02/2022 🔍
Fontes
Fabricante: rsa.comAconselhamento: ESA-2014-160
Empresa: EMC
Estado: Confirmado
CVE: CVE-2014-4631 (🔍)
GCVE (CVE): GCVE-0-2014-4631
GCVE (VulDB): GCVE-100-68326
X-Force: 99086 - RSA Adaptive Authentication security bypass, Medium Risk
SecurityFocus: 71423 - RSA Adaptive Authentication (On-Premise) CVE-2014-4631 Authentication Bypass Vulnerability
SecurityTracker: 1031297 - RSA Adaptive Authentication Challenge SOAP Call Device Binding Flaw Lets Remote Users Bypass Authentication
Entrada
Criado: 04/12/2014 09h56Atualizado: 27/02/2022 14h21
Ajustamentos: 04/12/2014 09h56 (65), 27/02/2022 14h21 (3)
Completo: 🔍
Cache ID: 216:AA9:103
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.