发布时间:2021-07-05 22:14:53,来源:北京奇虎科技有限公司、北京天融信网络安全技术有限公司
近日,ForgeRock发布安全公告,修复了ForgeRock Access Management(AM)存在远程代码执行漏洞,漏洞CVE编号:CVE-2021-35464。攻击者通过构造特殊的请求包可在ForgeRock AM服务器上执行任意代码。该漏洞无需身份认证,攻击过程不需任何交互,攻击难度低,且利用价值较高。建议受影响用户及时将ForgeRock AM升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
高危
ForgeRock Access Management(AM)是一个开源的访问管理、权限控制平台,在大学、社会组织中存在广泛的应用。
该漏洞是由于ForgeRock AM使用了Jato框架,在该框架中处理GET请求中jato.pageSession参数时会直接将其值进行反序列化。攻击者可在无需认证的情况下,通过构造恶意的请求,触发反序列化,从而执行任意代码,最终可接管运行ForgeRock AM的服务器。
ForgeRock AM 6.0.0.x
ForgeRock AM 6.5.0.x
ForgeRock AM 6.5.1
ForgeRock AM 6.5.2.x
ForgeRock AM 6.5.3
1.建议受影响用户升级至ForgeRock AM 7或更高版本。
下载地址:https://backstage.forgerock.com/downloads/
2.临时缓解措施:
1)通过注释AMweb.xml文件中的以下部分来禁止VersionServlet的映射,防止攻击者访问相关路径。
<servlet-mapping>
<servlet-name>VersionServlet</servlet-name>
<url-pattern>/ccversion/*</url-pattern>
</servlet-mapping>
2)使用反向代理或者其他方法阻止对ccversion端点的请求。同时避免出现通过反向代理进行Tomcat路径遍历的漏洞。
https://backstage.forgerock.com/knowledge/kb/article/a47894244