CVE-2021-35464

ForgeRock Access Management (AM)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

ForgeRock Access Management (AM) Core Server allows an attacker who sends a specially crafted HTTP request to one of three endpoints (/ccversion/Version, /ccversion/Masthead, or /ccversion/ButtonFrame) to execute code in the context of the current user (unless ForgeRock AM is running as root user, which the vendor does not recommend).

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в ForgeRock AM Core Server (CVE-2021-35464) позволяет удаленному злоумышленнику выполнить произвольный код на сервере, отправив специально сформированный HTTP-запрос к одному из трех эндпоинтов: * /ccversion/Version * /ccversion/Masthead * /ccversion/ButtonFrame

Код выполняется с правами пользователя, под которым работает процесс ForgeRock AM. Если сервис запущен от имени root, это приведет к полной компрометации системы.

Как исправить

Установите патчированную версию ForgeRock Access Management. Уязвимость устранена в следующих релизах:

  • ForgeRock AM 7.0: Обновитесь до версии 7.0.1 или новее.
  • ForgeRock AM 6.5: Обновитесь до версии 6.5.3 или новее.
  • ForgeRock AM 6.0: Обновитесь до версии 6.0.2.1 или новее.

Процесс обновления: 1. Скачайте патчированную версию с официального портала ForgeRock. 2. Остановите сервис AM. 3. Создайте резервную копию текущей установки и конфигураций. 4. Выполните установку новой версии поверх существующей, следуя официальной документации по обновлению (Upgrade Guide). 5. Запустите сервис и проверьте его работоспособность.

Временное решение

Если немедленное обновление невозможно, заблокируйте доступ к уязвимым эндпоинтам.

1. Настройка обратного прокси (например, Nginx) или WAF: Добавьте правило для блокировки запросов к опасным путям.

location ~ ^/ccversion/(Version|Masthead|ButtonFrame) {
    deny all;
    return 403;
}

2. Использование встроенного веб-контейнера (если применимо): Настройте web.xml вашего развертывания или правила безопасности контейнера (например, Tomcat conf/web.xml), чтобы запретить доступ.

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Block CVE-2021-35464</web-resource-name>
        <url-pattern>/ccversion/Version</url-pattern>
        <url-pattern>/ccversion/Masthead</url-pattern>
        <url-pattern>/ccversion/ButtonFrame</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <!-- Пустой тег auth-constraint запрещает доступ всем -->
    </auth-constraint>
</security-constraint>

3. Блокировка на уровне сети (Фаервол): Если доступ к AM осуществляется через балансировщик или фаервол, настройте правило для отбрасывания или отклонения HTTP-запросов, содержащих в пути /ccversion/Version, /ccversion/Masthead или /ccversion/ButtonFrame.

Важно: Временные меры не устраняют уязвимость, а лишь затрудняют ее эксплуатацию. Планируйте установку официального патча как можно скорее.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей