【漏洞通告】Progress OpenEdge身份验证绕过漏洞（CVE-2024-1403）

2024年3月12日18:07:46评论42 views字数 1786阅读5分57秒阅读模式

一、漏洞概述

漏洞名称	Progress OpenEdge身份验证绕过漏洞
CVE ID	CVE-2024-1403
漏洞类型	身份验证绕过	发现时间	2024-03-12
漏洞评分	10.0	漏洞等级	严重
攻击向量	网络	所需权限	无
利用难度	低	用户交互	无
PoC/EXP	已公开	在野利用	未知

Progress OpenEdge是一个应用程序开发和部署平台套件。OpenEdge Authentication Gateway (OEAG)身份验证网关可通过强化 OpenEdge 应用程序环境的安全性来确保可信身份管理。

2024年3月12日，启明星辰VSRC监测到Progress OpenEdge中修复了一个身份验证绕过漏洞（CVE-2024-1403，CVSSv3评分10.0），影响了OpenEdge平台的OEAG组件和AdminServer，目前该漏洞的细节及PoC已公开。

当OpenEdge Authentication Gateway配置了OpenEdge 域，该域使用操作系统本地身份验证提供程序在 OpenEdge 活动版本支持的操作平台上授予用户ID和密码登录权限时，身份验证例程中存在漏洞，可能绕过身份验证导致未授权访问。此外，当OpenEdge Explorer (OEE) 和 OpenEdge Management (OEM) 建立 AdminServer连接时，它也会利用受支持平台上的操作系统本地身份验证提供程序来授予用户ID和密码登录权限，也可能受该漏洞影响导致未经授权的登录访问。

二、影响范围

OpenEdge版本<= 11.7.18

OpenEdge版本<= 12.2.13

OpenEdge版本12.8.0

三、安全措施

3.1 升级版本

目前该漏洞已经修复，受影响用户可升级到OpenEdge LTS Update 11.7.19、12.2.14 和12.8.1。

下载链接：

https://www.progress.com/trial-openedge

3.2 临时措施

注意，AdminServer 登录易受该漏洞影响，因为它们仅支持操作系统本地登录。仅当管理员将 OpenEdge 域配置为使用操作系统本地身份验证提供程序时，OEAG 才容易受到攻击。此外，AdminServer 和 OEAG 都对操作系统本地登录使用相同的身份验证管理系统，因此都容易受到操作系统本地身份验证提供程序中相同身份验证漏洞的影响。

无法立即更新到修复版本的用户可使用如下缓解措施：

lauth.dll库替换，可同时缓解AdminServer 和 OEAG中的漏洞。

lOEAG身份验证提供商域替换，该方法仅适用于OEAG。

lAdminServer缓解，使用 AdminServer 的“-admingroup”启动设置的 AdminServer 组控制来为操作系统本地用户组的一个或多个成员授予 OpenEdge AdminServer 访问和操作权限。

lAdminServer取消和禁用迁移，可以通过不在Linux上启动服务器或在Windows服务管理器中禁用AdminService来防止未经授权启动AdminService，直到能够应用修复程序为止。并关闭AdminService的所有运行实例，以消除未经授权的用户访问的风险。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://community.progress.com/s/article/Important-Critical-Alert-for-OpenEdge-Authentication-Gateway-and-AdminServer

https://www.horizon3.ai/attack-research/cve-2024-1403-progress-openedge-authentication-bypass-deep-dive/

原文始发于微信公众号（启明星辰安全简讯）：【漏洞通告】Progress OpenEdge身份验证绕过漏洞（CVE-2024-1403）

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞通告】Progress OpenEdge身份验证绕过漏洞（CVE-2024-1403）

二、影响范围

三、安全措施

3.1 升级版本

3.2 临时措施

3.3 通用建议

3.4 参考链接

CVE-2024-4040｜CrushFTP 认证绕过模板注入漏洞（POC）

【漏洞复现】ZenTao（禅道）身份认证绕过漏洞（QVD-2024-15263）

（CVE-2024-25648）福昕阅读器 ComboBox 小部件格式事件 UAF

漏洞复现 || SpringBlade dict-biz/list接口SQL注入

漏洞预警 | 大华智慧园区综合管理平台远程代码执行漏洞

漏洞预警 | JeecgBoot任意文件上传漏洞

漏洞预警 | 若依druid未授权访问漏洞

Cisco IOS XE Web UI存在权限提升漏洞(CVE-2023-20198)

【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】

LiveGBS user/save存在逻辑缺陷漏洞(CNVD-2023-72138)

发表评论

在线咨询

微信