米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は7月12日(米国時間)、「Critical ForgeRock Access Management Vulnerability|CISA」において、ForgeRock Access Managementがサイバー攻撃を受けていると伝えた。この製品には認証前にリモートからコードを実行できる脆弱性(CVE-2021-35464)が存在するとされている。
ForgeRock Access Managementは商用のアクセス管理ソリューション。オープンソースのアクセス管理ソリューションであるOpenAMをベースに開発されている。攻撃者がユーザーが実行しているコンテキストにおいてコマンドを実行することができるとされており注意が必要。脆弱性の影響を受けるとされるプロダクトおよびバージョンは次のとおり。
- ForgeRock Access Management 6.0.0.x
- ForgeRock Access Management 6.5.0.x
- ForgeRock Access Management 6.5.1
- ForgeRock Access Management 6.5.2.x
- ForgeRock Access Management 6.5.3
- サポート対象外のすべての古いバージョン
脆弱性に関する情報は次のページにまとまっている。
- AM Security Advisory #202104 - Knowledge - BackStage
- ForgeRock Open AM critical vulnerability | Cyber.gov.au
- Technical Impact Assessment - ForgeRock AM CVE-2021-35464
-
AM Security Advisory #202104 - Knowledge - BackStage
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、ForgeRock Access Management version 7へのアップデートの適用を優先するか、回避策を適用することを推奨している。
