Canonical近期針對Ubuntu發布資安公告,揭露高風險漏洞CVE-2024-9312,這項弱點存在於身分驗證管理元件Authd,一旦攻擊者觸發漏洞,就有機會欺騙電腦,並針對特定使用者帳號進行未經授權存取,CVSS風險為7.6分,該公司提供0.3.6版Authd修補。
這項元件的功能,主要是提供雲端身分驗證系統的身分驗證及存取的安全管理,並藉由模組化設計而具備多種身分驗證功能,該元件目前支援存取Entra ID,開發團隊未來也打算支援其他的身分驗證提供者。
究竟這項漏洞發生的原因為何?原因是Authd分配的UID是根據使用者名稱產生的純函數(pure function),再者,則是UID的集合太小,導致無法進行隨機分配。這樣的情況,使得該元件很可能會遭到利用。
攻擊者可在取得本機權限的情況下,使用可能會造成衝突,或是與目標帳號UID符合的使用者名稱,來建立多個使用者帳號,這麼一來,攻擊者就有機會得到與目標用戶相同的存取權限。
不僅如此,攻擊者還能試圖利用這項弱點操縱其他電腦上的資源。
針對這項弱點,除了Canonical推出新版Authd,通報此事的研究人員認為,企業組織應考慮透過身分驗證提供者或其他的管道,發布不會造成衝突的UID來因應。
熱門新聞
2024-12-22
2024-12-20
2024-12-22
2024-12-20
Advertisement