TokyoBlackHatNews

darkreading.com 4分で読了

Claroty、認証バイパスの脆弱性にパッチを適用

サイバーフィジカルシステムの概念図

出典:Shutterstock経由 Digitala World

運用技術(OT)環境へのアクセスを提供する技術における脆弱性は特に危険です。なぜなら、攻撃者が重要な産業システムを妨害したり、機密データを盗んだり、重要なインフラストラクチャへの不正な制御を得たりすることができるからです。

最近発見されたこのような脆弱性の一例が、Claroty Secure Remote Access(SRA)におけるCVE-2025-54603です。ベンダーはすでにパッチを提供しています。この脆弱性は、Claroty SRAのオンプレミスOpenID Connect(OIDC)機能に存在し、攻撃者が基本的な権限を持つ不正ユーザーを作成したり、既存ユーザーになりすましたり、管理者権限を完全に取得したりする手段を与えていました。

認証バイパスの脆弱性

Limes Securityの研究者がこの脆弱性を発見し、報告したのは、今年初めに顧客のための定期的なペネトレーションテストを実施していた際のことでした。

Clarotyは、産業、医療、公共、商業分野の組織がサイバー脅威からOT環境を監視、管理、保護するための技術を提供しています。同社によれば、現在、世界中の数千の拠点で数百の組織がClarotyを利用して重要なOT資産を保護しています。Limesが脆弱性を発見したClaroty SRAは、ベンダー、請負業者、保守エンジニア、社内管理者などが、監視およびポリシー制御された方法でこれらのOT環境にリモート接続できるようにする技術です。

CVE-2025-54603は、Claroty Secure AccessでOIDCが構成されている場合のOpenID Connect(OIDC)認証フローの誤った実装に起因します。米国国立標準技術研究所(NIST)がNational Vulnerability Databaseで説明している通り、「Claroty Secure Access 3.3.0から4.0.2における不正なOIDC認証フローにより、不正なユーザー作成や既存OIDCユーザーのなりすましが発生する可能性があります。」

このような問題は、認証プロセス中に特定のトークンやIDアサーションの完全な検証や強制が行われない場合に発生し、攻撃者が不正なユーザーアカウントを作成したり、有効なOIDCユーザーになりすましたりすることを可能にします。

「設定が正しいかどうかをテストする通常のペンテストでした」と、Limes SecurityのIT/OTスペシャリストであるBenjamin Oberdorfer氏は、バグの発見について語ります。「基本的に、実際には非常に重大な脆弱性に偶然遭遇しました。認証メカニズムをバイパスできて、管理者やユーザーの[アクセス]が得られるというものでした」と、Dark Readingへのコメントで述べています。この脆弱性により、攻撃者は適切な登録なしに影響を受けるシステム上にユーザーを作成することができるとOberdorfer氏は言います。さらに悪いことに、たとえ二要素認証が有効になっていても、攻撃者はClarotyのSRAプラットフォームに直接ログインでき、多要素認証による保護を完全に回避することができます。

CVE-2025-54603がもたらすリスクを軽減する唯一の方法は、Clarotyが提供する脆弱性修正パッチを適用することです。OIDCを無効化するだけでは不十分で、脆弱性は依然として悪用可能だと彼は述べています。

より広範な脅威

Clarotyの脆弱性リサーチ責任者であるFelix Eberstaller氏は、この脆弱性について、攻撃者が認証プロセス中にどのフィールドや値を操作すればよいかを把握すれば、比較的簡単に悪用できると評価しています。「どのパラメータを操作すればよいか分かっていれば、毎回確実に、困難や障害なくこの脆弱性を悪用できます」と彼は述べています。Eberstaller氏によれば、この新たな脆弱性は、2021年にLimesがClarotyのSRA技術で発見したローカル権限昇格の脆弱性(悪用には特定の権限が必要だった)よりもはるかに深刻です。

Clarotyのリモートアクセス製品の脆弱性は、決して孤立した事例ではありません。OTや産業用制御システム(ICS)へのリモートアクセスを可能にする技術への需要の高まりは、しばしば不均一かつ一貫性のないセキュリティで導入されるリモートアクセスツールの急増を招いています。昨年の調査では、Clarotyが調査対象組織の55%がOT環境で4つ以上のリモートアクセスツールを使用しており、驚くべきことに33%は6つ以上を使用していることが判明しました。多くのツールはエンタープライズレベルではなく、特権アクセス管理、ロールベースアクセス制御、セッション記録、多要素認証などの重要な機能をサポートしていません。これらやその他の広範な問題への懸念から、米国連邦当局は今年初め、ICSおよびOTネットワークの運用者が攻撃の増加に十分に備えていないことについて勧告を発表しました。

翻訳元: https://www.darkreading.com/ics-ot-security/claroty-patches-authentication-bypass-flaw

ソース: darkreading.com
#authentication bypass #Claroty #Critical Infrastructure #CVE-2025-54603 #Industrial Control Systems #Multifactor Authentication #OpenID Connect #Operational Technology #remote access security #Vulnerability Patching

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開