Luka w uwierzytelnianiu SimpleHelp umożliwiająca obejście zabezpieczeń
Krytyczna luka w SimpleHelp pozwala na obejście uwierzytelniania OIDC i uzyskanie dostępu technika bez autoryzacji. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 9.5 CRITICAL
- EPSS
- 63.26%
- Aktywnie wykorzystywana
- tak
- Produkt
- SimpleHelp
Co wiadomo
W wersjach SimpleHelp 5.5.15 i wcześniejszych oraz w wersjach przedpremierowych 6.0 występuje luka pozwalająca na obejście uwierzytelniania w procesie OIDC. Atakujący może przesłać sfałszowany token tożsamości bez weryfikacji podpisu kryptograficznego, uzyskując pełny dostęp technika bez uwierzytelnienia.
Wpływ biznesowy
Ta krytyczna luka o wysokim poziomie ryzyka (CVSS 9.5) umożliwia zdalnemu, nieautoryzowanemu atakującemu uzyskanie pełnych uprawnień technika, co może prowadzić do przejęcia kontroli nad systemem. W niektórych konfiguracjach możliwe jest również obejście uwierzytelniania wieloskładnikowego, zwiększając ryzyko naruszenia bezpieczeństwa infrastruktury IT.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji od producenta SimpleHelp oraz ich wdrożenie. W międzyczasie warto ograniczyć ekspozycję usługi na zewnątrz, monitorować logi pod kątem podejrzanych prób logowania i priorytetyzować działania naprawcze. Weryfikacja konfiguracji OIDC oraz wdrożenie dodatkowych mechanizmów zabezpieczeń może pomóc zminimalizować ryzyko.