警惕軟件供應(yīng)鏈攻擊!身份驗(yàn)證平臺(tái)ForgeRock存在嚴(yán)重RCE漏洞

澳大利亞和美國(guó)的網(wǎng)絡(luò)安全機(jī)構(gòu)警告稱，F(xiàn)orgeRock的OpenAM訪問(wèn)管理解決方案存在一個(gè)被積極利用的漏洞，該漏洞可被用來(lái)在受影響的系統(tǒng)上遠(yuǎn)程執(zhí)行任意代碼。

在一份警報(bào)中稱，ACSC(澳大利亞網(wǎng)絡(luò)安全中心)已經(jīng)觀察到網(wǎng)絡(luò)攻擊者利用這個(gè)漏洞來(lái)破壞多個(gè)主機(jī)并部署額外的惡意軟件和工具，但ACSC沒(méi)有透露攻擊的性質(zhì)、它們的廣泛程度及利用網(wǎng)絡(luò)攻擊者的身份。

ForgeRock是一家數(shù)字身份管理解決方案提供商，產(chǎn)品涉及身份管理、訪問(wèn)管理、用戶管理訪問(wèn)、目錄服務(wù)、邊緣安全和身份網(wǎng)關(guān)等，產(chǎn)品及解決方案被超過(guò)1100個(gè)企業(yè)使用，包括飛利浦、Geico、BBC、寶馬、皮爾森和德勤等，用于驗(yàn)證身份信息等。

攻擊與遠(yuǎn)程代碼執(zhí)行(RCE)漏洞有關(guān)

該問(wèn)題被跟蹤為CVE-2021-35464，與ForgeRock訪問(wèn)管理器身份和訪問(wèn)管理工具中的預(yù)身份驗(yàn)證遠(yuǎn)程代碼執(zhí)行(RCE)漏洞有關(guān)，源于該軟件使用的Jato框架中的不安全Java 反序列化。

網(wǎng)絡(luò)攻擊者利用這個(gè)漏洞將在當(dāng)前用戶的上下文中執(zhí)行命令，而不是作為root用戶(除非ForgeRock AM以root用戶身份運(yùn)行，但這是不推薦的)。

“攻擊者可以使用代碼執(zhí)行來(lái)提取憑據(jù)和證書(shū)，或者通過(guò)部署某種外殼(例如常見(jiàn)的植入物Cobalt Strike)在主機(jī)上獲得進(jìn)一步的立足點(diǎn)。

該漏洞影響版本6.0.0.x和6.5的所有版本，直到并包括6.5.3。

目前，此漏洞問(wèn)題已在2021年6月29日發(fā)布的AM7版本中解決，建議客戶快速部署補(bǔ)丁，以減少與漏洞相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及軟件供應(yīng)鏈攻擊。

警惕軟件供應(yīng)鏈攻擊

隨著網(wǎng)絡(luò)犯罪分子的手段不斷提升，近幾年通過(guò)安全軟件存在的漏洞對(duì)下游公司實(shí)施攻擊及數(shù)據(jù)入侵的軟件供應(yīng)鏈攻擊事件愈發(fā)頻繁，軟件供應(yīng)鏈攻擊影響巨大，涉及被害企業(yè)數(shù)量多，破壞網(wǎng)絡(luò)后所耗費(fèi)的金額也遠(yuǎn)遠(yuǎn)高于一般的軟件攻擊事件。杜絕或減少軟件供應(yīng)鏈攻擊，就要對(duì)上中下游企業(yè)的網(wǎng)絡(luò)全面進(jìn)行安全檢測(cè)及防御，尤其上游軟件產(chǎn)品中的安全漏洞，給下游企業(yè)遭受攻擊埋下潛在風(fēng)險(xiǎn)點(diǎn)。建議企業(yè)在開(kāi)發(fā)軟件過(guò)程中，除了在驗(yàn)收階段進(jìn)行軟件安全測(cè)試外，加強(qiáng)在開(kāi)發(fā)期間對(duì)自編代碼及開(kāi)源代碼的安全檢測(cè)，將代碼安全檢測(cè)工具集成到開(kāi)發(fā)過(guò)程中，在保證開(kāi)發(fā)效率的同時(shí)，兼顧軟件安全。

參讀鏈接：https://thehackernews.com/2021/07/critical-rce-flaw-in-forgerock-access.html