Check Point、Zscaler、Netskopeの製品群に、認証バイパスの脆弱性が広く存在することが判明しました。
3社すべてで認証情報保存の失敗が見られ、認証情報保存メカニズムの脆弱性が露呈しました。
1社は4時間以内に一時的な修正を実装したと主張しています。
この脆弱性は、SAMLアサーションの署名の存在確認のみが行われていた際に発見されました。
注目すべき点として、Check PointのSAML実装では認証が不要でした。
DEF CONの調査はZTNAを標的にし、失敗と評価 from csoonline.com
security summaryCheck Point、Zscaler、Netskopeの製品群に、認証バイパスの脆弱性が広く存在することが判明しました。
3社すべてで認証情報保存の失敗が見られ、認証情報保存メカニズムの脆弱性が露呈しました。
1社は4時間以内に一時的な修正を実装したと主張しています。
この脆弱性は、SAMLアサーションの署名の存在確認のみが行われていた際に発見されました。
注目すべき点として、Check PointのSAML実装では認証が不要でした。
コメント