CVE-2021-22506
Micro Focus Micro Focus Access Manager
2021-11-03
Micro Focus Access Manager contains an information leakage vulnerability resulting from a SAML service provider redirection issue when the Assertion Consumer Service URL is used.
Технический анализ и план устранения
Суть уязвимости
Уязвимость (CVE-2021-22506) в Micro Focus Access Manager (AM) позволяет злоумышленнику получить конфиденциальную информацию. Проблема возникает в механизме обработки SAML-ответов. Если злоумышленник может заставить пользователя перейти по специально сформированной ссылке (например, через фишинговое письмо), он может перенаправить SAML-утверждение (Assertion) на контролируемый им сервер. Это может привести к утечке данных, содержащихся в утверждении, таких как имя пользователя, атрибуты или токены безопасности.
Как исправить
Необходимо установить официальный патч от Micro Focus. Уязвимость устранена в следующих версиях: * Access Manager 5.0: установите исправление Patch Update 1 (PU1) или более позднюю версию. * Access Manager 4.5: установите исправление Patch Update 3 (PU3) или более позднюю версию. * Access Manager 4.4: установите исправление Patch Update 8 (PU8) или более позднюю версию.
Действия: 1. Определите текущую версию и установленные патчи. Это можно сделать через веб-консоль администратора AM или проверив файлы в директории установки. 2. Загрузите необходимый патч с портала поддержки Micro Focus (https://softwaresupport.softwaregrp.com/). 3. Установите патч, следуя официальной инструкции Micro Focus. Обычно процесс включает остановку служб, запуск инсталлятора и перезапуск.
Примерный порядок команд для Linux (зависит от конкретного дистрибутива и метода установки AM):
# Остановите службы Access Manager
sudo systemctl stop amserver
# Перейдите в директорию с загруженным патчем и запустите установку
# (Имя файла будет вида AM_5.0_PU1_Linux.bin)
sudo chmod +x AM_5.0_PU1_Linux.bin
sudo ./AM_5.0_PU1_Linux.bin
# Запустите службы Access Manager
sudo systemctl start amserver
Для Windows: Установите соответствующий пакет обновления (например, AM_5.0_PU1_Windows.exe) через графический инсталлятор, предварительно остановив службы AM.
Временное решение
Если немедленная установка патча невозможна, примите следующие меры для снижения риска:
1. Настройте WAF (Web Application Firewall): Создайте правило для блокировки HTTP-запросов к SAML Assertion Consumer Service (ACS), в которых параметр SAMLResponse или RelayState содержит URL-адреса, не принадлежащие вашим доверенным доменам (спискам разрешенных SP).
2. Ограничьте сетевой доступ: Убедитесь, что порты веб-интерфейса AM (обычно 443/TCP) доступны только из доверенных сетей (корпоративная сеть, VPN). Используйте групповые политики (GPO) или межсетевые экраны.
3. Повысьте осведомленность: Предупредите пользователей о фишинговых рисках и необходимости не переходить по подозрительным ссылкам, особенно ведущим на страницы аутентификации.