漏洞描述:
Progress OpenEdge是一个应用程序开发和部署平台套件,OpenEdge Authentication Gateway (OEAG) 身份验证网关可通过强化 OpenEdge 应用程序环境的安全性来确保可信身份管理,近日监测到Progress OpenEdge中修复了一个身份验证绕过漏洞(CVE-2024-1403,CVSSv3评分10.0),影响了OpenEdge平台的OEAG组件和AdminServer,目前该漏洞的细节及PoC已公开,当OpenEdge Authentication Gateway配置了OpenEdge域,该域使用操作系统本地身份验证提供程序在OpenEdge 活动版本支持的操作平台上授予用户ID和密码登录权限时,身份验证例程中存在漏洞,可能绕过身份验证导致未授权访问。此外,当OpenEdge Explorer(OEE) 和 OpenEdge Management (OEM) 建立 AdminServer连接时,它也会利用受支持平台上的操作系统本地身份验证提供程序来授予用户ID和密码登录权限,也可能受该漏洞影响导致未经授权的登录访问。
影响范围:
OpenEdge版本<= 11.7.18
OpenEdge版本<= 12.2.13
OpenEdge版本12.8.0
安全措施:
升级版本
目前该漏洞已经修复,受影响用户可升级到OpenEdge LTS Update 11.7.19、12.2.14 和12.8.1
下载链接:
https://www.progress.com/trial-openedge
临时措施:
注意,AdminServer登录易受该漏洞影响,因为它们仅支持操作系统本地登录。仅当管理员将OpenEdge域配置为使用操作系统本地身份验证提供程序时,OEAG 才容易受到攻击。此外,AdminServer和OEAG都对操作系统本地登录使用相同的身份验证管理系统,因此都容易受到操作系统本地身份验证提供程序中相同身份验证漏洞的影响。
无法立即更新到修复版本的用户可使用如下缓解措施:
1.auth.dll库替换,可同时缓解AdminServer和OEAG中的漏洞
2.OEAG身份验证提供商域替换,该方法仅适用于OEAG.
3.AdminServer缓解,使用 AdminServer的“-admingroup”启动设置的AdminServer组控制来为操作系统本地用户组的一个或多个成员授予OpenEdge AdminServer访问和操作权限
4.AdminServer取消和禁用迁移,可以通过不在Linux上启动服务器或在Windows服务管理器中禁用AdminService来防止未经授权启动AdminService,直到能够应用修复程序为止,并关闭AdminService的所有运行实例,以消除未经授权的用户访问的风险。
原文始发于微信公众号(飓风网络安全):【漏洞预警】Progress OpenEdge身份验证绕过漏洞(CVE-2024-1403)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论