ForgeRock Access Manager の RCE 脆弱性が悪用されている

Critical RCE Flaw in ForgeRock Access Manager Under Active Attack

2021/07/12 TheHackerNews — ForgeRock のアクセス管理ソリューション OpenAM に存在する脆弱性が悪用され、影響を受けたシステム上でリモートからの任意のコード実行が生じる可能性があると、オーストラリアと米国のサイバー・セキュリティ機関が警告している。Australian Cyber Security Centre (ACSC) は、この脆弱性を悪用して複数のホストを危険にさらし、追加のマルウェアやツールを展開する行為を確認した。

ただし、この攻撃の性質と規模や、悪用している脅威アクターの身元などについては公表されていない。この脆弱性 CVE-2021-35464 は、ForgeRock Access Manager の ID およびアクセスを管理するツールにおける、認証前のリモートコード実行 (RCE) であり、同ソフトウェアで用いられる Jato フレームワークの、Java デシリアライゼーションに起因している。

ForgeRock は、「この脆弱性を悪用する攻撃者は、root ユーザーではなく現在のユーザーのコンテキストでコマンドを実行する。ただし、ForgeRock AM が root ユーザーとして実行されている場合は、この限りではない。攻撃者は、コード実行を利用して認証情報や証明書を抽出することが可能であり、また、何らかのシェルをステージングしてホストでの足場 (一般的なインプラントである Cobalt Strike など) を確保することが可能だ 」とアドバイザリで指摘している。

この脆弱性は、Version 6.5.3 までの、すべての Version 6.0.0.x に影響しますが、2021 年 6 月 29 日にリリースされた、Access Manager 7.0 で対処されているとのことです。ForgeRock の顧客に対して、この脆弱性のリスクを軽減するために、パッチの導入を速やかに進めることが推奨されています。

%d bloggers like this: