Australian Cyber Security Centre, dijital kimlik yönetimi firması ForgeRock‘un popüler Erişim Yönetimi platformundaki kritik seviyede olan, ön yetkilendirme uzaktan kod yürütme (RCE) güvenlik açığından aktif olarak yararlanılabildiğini tespit etmiştir.

CVE-2021-35464 olarak yayınlanan zafiyet, ForgeRock Access Manager kimlik ve erişim yönetimi aracındaki bir ön kimlik doğrulama uzaktan kod yürütme (RCE) güvenlik açığı ile ilgilidir ve yazılım tarafından kullanılan Jato çerçevesindeki güvenli olmayan bir Java serileştirmesinden kaynaklandığı tespit edilmiştir.

Ticari bir access-management platformu olan ForgeRock web uygulamaları için OpenAM açık kaynaklı erişim yönetimi platformuna dayanmaktadır.

600 kişilik bir ekip tarafından yönetilen ForgeRock, Birleşik Krallık, Fransa, Kanada, Norveç, Almanya, Avustralya ve Singapur’da ofisleri de mevcuttur. ForgeRock’ın sunduğu çözümler şu an için bini aşkın organizasyon tarafından kullanılıyor. ForgeRock’ın müşterileri arasında AutoZone, Philips, Geico, BBC, BMW, Pearson ve Deloitte gibi önemli firmaların olduğunu da eklemekte fayda var, çünkü bu yayınlanan zafiyet aslında dolaylıda olsa bu firmaları etkilemektedir.

Güvenlik açığı 6.0.0.x sürümlerinden 6.5.3’e kadar ve 6.5 dahil tüm 6.5 sürümlerini etkilemektedir. 29 Haziran 2021’de yayınlanan AM 7 sürümünü de etkilemektedir. ForgeRock müşterileri için hızlı bir yama hazırlamıştır. Bu yama geçici olarak riski azaltmaktadır.

Kaynakça:
thehackernews.com
rapid7.com
threatpost.com