SAML Web SSOの認証前バグと、脆弱なアクセス制御および暗号化が組み合わさると、攻撃者が権限昇格とリモートコード実行を実現できる。
セキュリティ研究者らは、軽量でモジュール化されたJavaアプリケーションサーバであるIBM WebSphere Libertyに影響を与える一連の脆弱性について警告しており、これらが連鎖してサーバ完全乗っ取りになる可能性があります。
サーバ完全乗っ取りに至った計7つの脆弱性は、プラットフォームのSAML Web SSOコンポーネント内で新たに発見された、低権限アクセスを可能にする認証前の問題から始まります。
そこから、チェーン攻撃は認証、アクセス制御、および暗号化保護を操作して完全な制御を達成します。「私たちがIBMに報告した7つの脆弱性は、攻撃者がネットワークレベルのエクスポージャーまたは限定的なアクセスから完全なサーバ乗っ取りに移行するための複数の経路を生み出します」とOligo Securityの研究者はブログ投稿で述べています。
このチェーン攻撃は基本的に重大な侵害への権限昇格パスであり、その対策は現在パッチおよび設定ガイドラインとして利用可能です。
認証前RCEが基調を設定
ルート脆弱性は、最近開示されたものでもあり、CVE-2026-1561として追跡されており、SAML Web SSO機能を対象とし、悪用するために認証を必要としません。影響を受けるデプロイメントでは、攻撃者は公開されているSAMLエンドポイントに到達し、作成されたシリアル化ペイロードを提供でき、最終的にはリモートコード実行(RCE)を達成します。
具体的には、アプリケーションはシークレット値を追加することでシリアル化されたクッキーを検証しようとしますが、「String.concat()」操作の結果を保存できていません。Javaでは、このメソッドは非ミューテーティングです。つまり、元の文字列は変更されないままであり、整合性チェックが無意味になります。
結果として、攻撃者はSSOクッキーを改ざんし、検証失敗をトリガーすることなく任意のシリアル化されたJavaオブジェクトを提供できます。脆弱なエンドポイントは認証前にこのデータを処理するため、認証前RCEベクトルが開かれます。
SSOエンドポイントは設計により、しばしばインターネット向けであると研究者は指摘し、脆弱性をリモートエントリーポイントに変え、追加の弱点とのチェーン攻撃を可能にしています。
AdminCenterの欠陥がさらなる昇格を可能に
初期アクセスを超えて、研究はWebSphere Libertyの管理制御内の重大な問題を概説しました。ロールベースのアクセスを実行するように設計されたAdminCenterコンポーネントには、低権限ユーザーが機密ファイルとシークレットにアクセスできるようにする複数の欠陥があります。
CVE-2025-14915の下で追跡される1つの問題は、「reader」レベルのユーザーが認証キーなどの重要なサーバファイルを取得できるようにし、その後、トークンを偽造してより高い権限を持つユーザーになりすましたり、別の問題(CVE-2025-14917)は、トークン署名LTPAキーを保護するハードコードされたパスワード、およびすべてのモードで静的キーが付属する暗号化ユーティリティ(CVE-2025-14923)にあります。
チェーンの残りの部分には、意図されたディレクトリ外のファイルを書き込むために悪用される可能性があるアーカイブ抽出の欠陥(CVE-2025-14914)、およびアクセスが取得されたら「server.xml」のような認証情報などの機密エントリを取得または再利用できる設定データの不安全な処理(CVE未割り当て)が含まれます。
研究者は完全なチェーンを詳述し、低権限「reader」ユーザーが公開されている設定データから管理者認証情報を抽出または復旧でき、または代わりに復号化されたLTPAキーを使用して管理者トークンを偽造して、完全な管理アクセスを取得できることに注目しました。そこから、アーカイブ抽出の欠陥はZip Slip形式の攻撃を介した任意のファイル書き込みを可能にし、最終的にはリモートコード実行に至ります。
IBMは開示された攻撃チェーンについてのCSOのコメント要求にはすぐには対応しませんでした。
必要なパッチの適用に加えて、Oligoは組織に「SecurityUtility」を使用して生成されたシークレットをローテーションするよう促し、デフォルトのXORおよびAESモードはそれらを事実上逆転可能にし、今後はカスタム暗号化キーに移動するよう勧告しました。また、監査の使用とreaderロール割り当ての制限を推奨しました。これらのユーザーは完全な管理アクセスに昇格する可能性があるためです。
