Meer dan dertig beveiligingslekken in IBM Security Verify Access, waardoor een aanvaller de oplossing kan compromitteren, zijn na anderhalf jaar gepatcht, wat volgens beveiligingsonderzoeker Pierre Kim 'zeer zorgwekkend' is. IBM Security Verify Access is een 'authorization and network security policy management solution' waarmee organisaties hun gebruikers op intra- en extranetten kunnen authenticeren en autoriseren. Het is te gebruiken voor applicaties en client/server-toepassingen.

Kim ontdekte in totaal 32 kwetsbaarheden in de oplossing waardoor een aanvaller zijn rechten op het systeem kan verhogen, het mogelijk is de authenticatie te omzeilen en remote code execution kan plaatsvinden. "TL;DR: Een aanvaller kan IBM Security Verify Access door middel van meerdere kwetsbaarheden compromitteren", vat Kim zijn onderzoek samen. Daarnaast werden in de IBM Security Verify Access runtime Docker images verouderde en niet meer vertrouwde certificaatautoriteiten aangetroffen, waaronder DigiNotar.

Voorwaarde om misbruik van de kwetsbaarheden te maken is dat de aanvaller in staat is om een man-in-the-middle (MITM)-aanval op de verbinding naar de Security Verify Access-server uit te voeren of vanuit het lokale netwerk toegang krijgt. De beveiligingslekken werden in oktober 2022 ontdekt en begin 2023 aan IBM gerapporteerd. Uiteindelijk waren die eind juni van dit jaar allemaal gepatcht. "Anderhalf jaar nodig hebben om te komen met beveiligingsupdates voor een Single sign-on (SSO)-oplossing lijkt niet in lijn te zijn met huidige cybersecurityrisico's en is zeer verontrustend", aldus Kim.