当前位置:首页 > 漏洞预警 > 正文

ForgeRock Access Management远程代码执行漏洞(CVE-2021-35464)预警

发布时间:2021-07-05 22:14:53,来源:北京奇虎科技有限公司、北京天融信网络安全技术有限公司

      一、 基本情况

近日,ForgeRock发布安全公告,修复了ForgeRock Access Management(AM)存在远程代码执行漏洞,漏洞CVE编号:CVE-2021-35464。攻击者通过构造特殊的请求包可在ForgeRock AM服务器上执行任意代码。该漏洞无需身份认证,攻击过程不需任何交互,攻击难度低,且利用价值较高。建议受影响用户及时将ForgeRock AM升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

ForgeRock Access Management(AM)是一个开源的访问管理、权限控制平台,在大学、社会组织中存在广泛的应用。

该漏洞是由于ForgeRock AM使用了Jato框架,在该框架中处理GET请求中jato.pageSession参数时会直接将其值进行反序列化。攻击者可在无需认证的情况下,通过构造恶意的请求,触发反序列化,从而执行任意代码,最终可接管运行ForgeRock AM的服务器。

      四、 影响范围

ForgeRock AM 6.0.0.x

ForgeRock AM 6.5.0.x

ForgeRock AM 6.5.1

ForgeRock AM 6.5.2.x

ForgeRock AM 6.5.3

      五、 安全建议

1.建议受影响用户升级至ForgeRock AM 7或更高版本。

下载地址:https://backstage.forgerock.com/downloads/

2.临时缓解措施:

1)通过注释AMweb.xml文件中的以下部分来禁止VersionServlet的映射,防止攻击者访问相关路径。

<servlet-mapping>

<servlet-name>VersionServlet</servlet-name>

<url-pattern>/ccversion/*</url-pattern>

</servlet-mapping>

2)使用反向代理或者其他方法阻止对ccversion端点的请求。同时避免出现通过反向代理进行Tomcat路径遍历的漏洞。

      六、 参考链接

https://backstage.forgerock.com/knowledge/kb/article/a47894244