Pesquisadores divulgaram detalhes técnicos sobre a vulnerabilidade CVE-2024-45488, uma falha crítica de bypass de autenticação que afeta o Safeguard for Privileged Passwords (SPP) da One Identity. Essa falha pode permitir que atacantes obtenham acesso administrativo completo ao appliance virtual, abrindo caminho para a execução de ações como reconfiguração de definições e modificação de políticas para extrair senhas armazenadas.

De acordo com os pesquisadores, uma vez que o atacante obtém uma sessão administrativa autenticada, ele tem os mesmos privilégios de um administrador legítimo, podendo realizar qualquer operação, incluindo o download e a descriptografia de backups, caso a configuração padrão de criptografia de backup (que usa uma chave RSA hardcoded) esteja ativada.

A falha, conhecida como “Skeleton Cookie,” resulta da presença de uma chave criptográfica embutida nas imagens do appliance virtual do SPP. Com essa chave, um invasor pode forjar cookies de sessão, obtendo acesso não autorizado.

A vulnerabilidade afeta apenas as implementações do Safeguard for Privileged Passwords hospedadas em VMware ou HyperV. Implementações físicas, ou em plataformas de nuvem suportadas como Azure, AWS e OCI, não são impactadas.