Protección insuficiente contra las llamadas a API no autorizadas en IBM Verify Gateway

Fecha de publicación:

24/07/2020

Importancia:

4 - Alta

Recursos afectados:

IBM Verify Gateway (IVG) RADIUS 1.0.0;
IBM Verify Gateway (IVG) PAM 1.0.0, 1.0.1;
IBM Verify Gateway (IVG) WinLogin 1.0.0, 1.0.1.

Descripción:

La protección insuficiente contra las llamadas a API no autorizadas en IBM Verify Gateway podría permitir a un atacante obtener un token de acceso y utilizarlo con fines maliciosos.

Solución:

Actualizar a las versiones:

IBM Security Verify Gateway para AIX PAM (Pluggable Authentication Modules) v1.0.1;
IBM Security Verify Gateway para Linux PAM (Pluggable Authentication Modules) v1.0.2;
IBM Security Verify Gateway para RADIUS v1.0.1;
IBM Security Verify Gateway para Windows Login v1.0.2.

Detalle:

Cuando los componentes del IBM Verify Gateway (IVG) hacen llamadas a la API, no hay suficiente protección. Esto podría permitir a un atacante obtener otros token de acceso y utilizarlos en otra llamada a la API realizando una suplantación.

Referencias:

Security Bulletin: IBM Verify Gateway does not sufficiently guard against unauthorized API calls (PSIRT-ADV0022379)

Etiquetas:

Actualización

IBM

Vulnerabilidad

Accesos corporativos

Protección insuficiente contra las llamadas a API no autorizadas en IBM Verify Gateway

Vulnerabilidad de inyección de comandos en NETGEAR R8300

Vulnerabilidades en GRUB2 y UEFI Secure Boot

Múltiples vulnerabilidades en productos de Cisco

Limitación incorrecta de la ruta a un directorio restringido en Dell EMC OMSA

Protección insuficiente contra las llamadas a API no autorizadas en IBM Verify Gateway