其他
大企业都在用的开源 ForgeRock OpenAM 被曝预认证 RCE 0day
编译:奇安信代码卫士
当地时间上周五,澳大利亚网络安全中心(ACSC)指出,攻击者利用ForgeRock OpenAM 中的一个预认证远程代码执行漏洞攻击大量澳大利亚组织机构。ForgeRock OpenAM 是一款开源应用程序,很多大型企业将其作为内部应用方案的身份访问管理解决方案。
该 0day 的编号是 CVE-2021-35464,是由 PortSwigger 公司的安全研究员 Michael Stepankin 在6月29日发现并披露的。攻击者可利用该漏洞在 OpenAM 或 ForgeRock 访问管理平台上运行恶意代码,在无需提供有效凭据的情况下发动攻击。
上周五,ACSC 发布安全警报称收到很多关于该漏洞被用于攻陷澳大利亚组织机构的报告,”ACSC 发现有人利用该漏洞攻陷多个主机并部署其它恶意软件和工具。“
ACSC 建议在内网使用该平台的企业应用ForgeRock 发布的补丁。易受攻击的版本是 ForgeRock OpenAM 6.x分支,修复版本是 ForgeRock OpenAM 7.x分支。今天,美国网络安全和基础设施安全局也发布公告称企业应尽快应用补丁。
超8成项目存在高危开源漏洞 《2021中国软件供应链安全分析报告》发布
“机智号”成功试飞火星,但它使用的开源软件安全吗?
在线阅读版:《2021中国软件供应链安全分析报告》全文
https://therecord.media/acsc-australian-organizations-compromised-through-forgerock-zero-day/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。