SK-CERT Bezpečnostné varovanie V20240926-04
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP:CLEAR |
CVSS Skóre |
9.1 |
Identifikátor |
WatchGuard Authentication Gateway a SSO Client – dve kritické bezpečnostné zraniteľnosti |
Popis |
Spoločnosť WatchGuard vydala bezpečnostné aktualizácie na produkty Authentication Gateway a WatchGuard Single Sign-On (SSO) Client, ktoré opravujú tri bezpečnostné zraniteľnosti, z ktorých sú dve označené ako kritické. Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-6593 sa nachádza v produkte Authentication Gateway, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne upravených príkazov vykonať škodlivý kód, získať neoprávnený prístup k citlivým údajom a vykonať neoprávnené zmeny v systéme. Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme a spôsobiť zneprístupnenie služby. Na uvedené zraniteľnosti je v súčasnosti voľne dostupný Proof-of-Concept kód. |
Dátum prvého zverejnenia varovania |
25.9.2024 |
CVE |
CVE-2024-6593, CVE-2024-6592, CVE-2024-6594 |
IOC |
– |
Zasiahnuté systémy |
Authentication Gateway vo verzii staršej ako 12.10.2 (vrátane) Single Sign-On Client (Windows) vo verzii staršej ako 12.7 (vrátane) Single Sign-On Client (MacOS) vo verzii staršej ako 12.5.4 (vrátane) |
Následky |
Vykonanie škodlivého kódu Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
Odporúčania |
Pri produktoch, pre ktoré ešte neboli vydané bezpečnostné záplaty, odporúčame zraniteľnosti mitigovať podľa odporúčaní od výrobcu, sledovať stránky výrobcu a po vydaní príslušných záplat systémy bezodkladne aktualizovať. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
« Späť na zoznam