Уязвимость (CVE-2021-35464) позволяет злоумышленникам выполнять команды в контексте текущего пользователя.
Агентство кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) предупредило о том, что хакеры эксплуатируют опасную уязвимость в популярной платформе Access Management от компании ForgeRock.
Access Management является коммерческой платформой управления доступом, базирующейся на платформе управления доступом с открытым исходным кодом OpenAM для web-приложений.
Как сообщается в уведомлении CISA, уязвимость (CVE-2021-35464) позволяет злоумышленникам выполнять команды в контексте текущего пользователя. Уязвимость затрагивает версии Access Management до 7.0, работающие на Java 8: 6.0.0.x, 6.5.0.x, 6.5.1, 6.5.2.x, 6.5.3 и более ранние, больше неподдерживаемые версии. Версия Access Management 7.0 и более поздние не подвержены данной уязвимости.
Первым об уязвимости сообщил специалист компании PortSwigger Майкл Степанкин (Michael Stepankin) 29 июня 2021 года. Для эксплуатации уязвимости он создал целую цепочку гаджетов десериализации Ysoserial.
Опубликованный на GitHub Ysoserial представляет собой PoC-инструмент для создания полезной нагрузки, использующей небезопасную десериализацию Java-объекта. Сериализация – это механизм преобразования состояния объекта в поток байтов. Десериализация, в свою очередь, является обратным процессом – механизмом, посредством которого поток байтов используется для воссоздания реального объекта Java в памяти.
В течение нескольких часов после раскрытия уязвимости Степанкиным компания ForgeRock выпустила рекомендации по ее устранению. Обновление, исправляющее уязвимость, было выпущено 9 июля.
Одно найти легче, чем другое. Спойлер: это не темная материя