SSL Visibility Applianceに複数の脆弱性が確認された。影響を受けるのは全てのSSL Visibility Appliance(SV800、SV1800、SV2800、SV3800)のバージョン3.6.xから3.8.3までで、クロスサイトリクエストフォージェリ、不適切な入力によるクリックジャッキング、Cookieの盗難、セッションの固定 の脆弱性が含まれる。
クロスサイトリクエストフォージェリはスピアフィッシングメールなどを利用してユーザを悪意あるWebサイトに誘導してWebUIへのアクセスを可能にする。管理者がSSL Visibility applianceに認証されると、攻撃者に管理者として既存のセッションを実行される恐れがある。
不適切な入力によるクリックジャッキングはSSLVがX-Frame-Options レスポンスヘッダの同一生成元ポリシーを強制しないため、スピアフィッシングメールなどにより悪意あるWebサイトに誘導することにより攻撃者はWebUIにアクセス可能で、クリックジャッキング攻撃が可能となる。
Cookie盗難は、Secure フラグとHttpOnlyフラグの欠如のため犯罪者はネットワークトラフィックにより管理者のCookieが取得可能となる。
セッション固定はユーザセッション IDが認証前に設定され、認証後に変更や無効ができなくなり、攻撃者にセッションID取得やcookie作成により攻撃者に管理者のセッションが乗っ取られる可能性がある。
解決策として同社はSSL Visibility 3.8.4を公開しており、アップデートによりこの脆弱性は解消される。
