Source: https://www.darkreading.com/ics-ot-security/claroty-patches-authentication-bypass-flaw
🛡 概要
近年、運用技術環境へのアクセスを提供する技術における脆弱性は、特に危険性が高いです。これにより、攻撃者は重要な産業システムを妨害したり、機密データを盗んだり、重要なインフラストラクチャに対する不正アクセスを得たりすることが可能になります。最近発見された脆弱性の一例が、Claroty Secure Remote Access(SRA)におけるCVE-2025-54603です。この脆弱性は、Clarotyによって修正されました。脆弱性は、Claroty SRAのオンプレミスのOpenID Connect(OIDC)機能に存在し、攻撃者は基本的な権限を持つ不正なユーザーを作成したり、既存のユーザーを偽装したり、完全な管理者権限を取得することができました。
🔍 技術詳細
CVE-2025-54603は、Claroty Secure AccessにおけるOpenID Connect(OIDC)認証フローの不正な実装に起因しています。NISTによると、「Claroty Secure Access 3.3.0から4.0.2における不正なOIDC認証フローにより、不正なユーザーの作成や既存のOIDCユーザーの偽装が可能になる」とされています。このような問題は、製品が認証プロセス中に特定のトークンやアイデンティティの主張を完全に検証または強制しない場合に発生します。Limes SecurityのIT/OTスペシャリスト、ベンジャミン・オーバードルファーによれば、ペンテスト中に偶然発見されたこの脆弱性は、管理者やユーザーとしてのアクセスを簡単に取得できるものでした。
⚠ 影響
CVE-2025-54603の影響は深刻であり、攻撃者は適切な登録なしにユーザーを作成できるため、システムのセキュリティが著しく低下します。二要素認証が有効になっていても、攻撃者はClarotyのSRAプラットフォームに直接ログインでき、マルチファクター認証の保護を完全に回避することができます。Clarotyの脆弱性研究責任者、フェリックス・エーバースターラーは、この脆弱性の悪用が比較的簡単であると評価しており、特定のパラメータを操作することで、攻撃者は毎回容易にこの脆弱性を悪用できると述べています。
🛠 対策
CVE-2025-54603のリスクを軽減する唯一の方法は、Clarotyによって提供された脆弱性修正を適用することです。OIDCを単に無効にするだけでは不十分であり、脆弱性は依然として悪用可能です。これに対処するためには、適切な修正を適用し、運用技術環境のセキュリティを強化することが求められます。また、遠隔アクセスツールの利用に際しては、エンタープライズグレードのソリューションを選定し、特権アクセス管理やロールベースのアクセス制御、セッション記録、マルチファクター認証などの重要な機能を備えたものを導入することが重要です。
