Vulnerabilidade de diretório chega à solução IAM da SailPoint

O bug não está anexado a um aviso de segurança no momento da redação deste artigo, mas a vulnerabilidade foi relatada na segunda-feira ao National Vulnerability Database (NVD), que atribuiu a ele o identificador CVE-2024-10905.

Dado que o NVD raramente publica uma análise completa das vulnerabilidades, e sem um aviso para consultar, os detalhes da falha são poucos e distantes entre si.

No entanto, sabemos que a enumeração de fraqueza é CWE-66. Também conhecido como falha de travessia de diretório, esses são os tipos de bugs de décadas e fáceis de explorar que a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) instou os fornecedores a eliminar no início deste ano.

Na verdade, a organização de segurança MITRE os chamava de “imperdoáveis” muito antes, de acordo com um artigo de 2007 [PDF].

As travessias de diretório, às vezes chamadas de travessias de caminho, podem ser exploradas quando um software não consegue limpar a entrada do usuário, permitindo que esse usuário acesse diretórios de arquivos que normalmente não têm as permissões necessárias para visualizar.

Isso leva à divulgação de informações confidenciais e, potencialmente, ao comprometimento mais amplo dos sistemas.

Esses bugs foram descritos anteriormente como “embaraçosamente fáceis de explorar”.

A CISA disse: “As explorações de travessia de diretório são bem-sucedidas porque os fabricantes de tecnologia não tratam o conteúdo fornecido pelo usuário como potencialmente malicioso, portanto, falham em proteger adequadamente seus clientes”.

O alerta da agência foi um dos muitos publicados no início deste ano, projetados para apoiar sua campanha para impulsionar a adoção de princípios de segurança por design no desenvolvimento de software. A ideia é que, se os problemas de segurança mais básicos forem resolvidos pelos fornecedores, o número de ataques que interrompem os serviços críticos despencará.

De acordo com o detalhamento limitado do NVD, as seguintes versões do SailPoint IdentityIQ são vulneráveis:

• 8.4.x
• 8.3.x
• 8.2.x
• Todas as versões anteriores a estas

Os clientes são aconselhados a atualizar para as versões 8.4p2, 8.3p5 e 8.2p8, respectivamente, para corrigir a vulnerabilidade.

Falando em clientes, a SailPoint tem alguns pesos pesados em seus livros. Embora a empresa de propriedade da Thoma Bravo não divulgue o número exato de clientes sob sua asa, as principais organizações listadas em sua página de estudos de caso como usando o IdentityIQ incluem BNP Paribas, Toyota Europe, Philips, The Home Depot, General Motors e um banco central não identificado de um país europeu apelidado de “grande economia global”.

O Register perguntou à SailPoint por que nenhum aviso de segurança foi divulgado e se está ciente de alguma tentativa de exploração bem-sucedida, mas não respondeu imediatamente. ®

Atualizado para adicionar às 1207 UTC, 5 de dezembro

Rex Booth, CISO da SailPoint, compartilhou a seguinte declaração com o The Register: