Protección insuficiente contra las llamadas a API no autorizadas en IBM Verify Gateway

Fecha de publicación:

24/07/2020

Importancia:

4 - Alta

Recursos afectados:

IBM Verify Gateway (IVG) RADIUS 1.0.0;
IBM Verify Gateway (IVG) PAM 1.0.0, 1.0.1;
IBM Verify Gateway (IVG) WinLogin 1.0.0, 1.0.1.

Descripción:

La protección insuficiente contra las llamadas a API no autorizadas en IBM Verify Gateway podría permitir a un atacante obtener un token de acceso y utilizarlo con fines maliciosos.

Solución:

Actualizar a las versiones:

IBM Security Verify Gateway para AIX PAM (Pluggable Authentication Modules) v1.0.1;
IBM Security Verify Gateway para Linux PAM (Pluggable Authentication Modules) v1.0.2;
IBM Security Verify Gateway para RADIUS v1.0.1;
IBM Security Verify Gateway para Windows Login v1.0.2.

Detalle:

Cuando los componentes del IBM Verify Gateway (IVG) hacen llamadas a la API, no hay suficiente protección. Esto podría permitir a un atacante obtener otros token de acceso y utilizarlos en otra llamada a la API realizando una suplantación.

Referencias:

Security Bulletin: IBM Verify Gateway does not sufficiently guard against unauthorized API calls (PSIRT-ADV0022379)

Etiquetas:

Actualización

IBM

Vulnerabilidad

Accesos corporativos

Protección insuficiente contra las llamadas a API no autorizadas en IBM Verify Gateway

Omisión de autentificación en ManageEngine Desktop Central

Múltiples vulnerabilidades en Cisco Redundancy Configuration Manager

Múltiples vulnerabilidades en el core de Drupal

Actualizaciones críticas en Oracle (enero 2022)

Múltiples vulnerabilidades en IBM HTTP Server