Access Management (AM)

Die Schwachstelle betrifft den Core Server der Zugriffsverwaltung Access Management (AM) von ForgeRock. Sie beruht auf einer unsicheren Java-Deserialisierung: Über einen bestimmten Sitzungsparameter, der auf mehreren Seiten verarbeitet wird, lässt sich manipulierter serialisierter Code einschleusen. Verantwortlich ist die Nutzung des veralteten Sun ONE Application Framework (JATO), das in älteren Java-Versionen enthalten ist. Ausnutzen lässt sich der Defekt aus der Ferne und ganz ohne Anmeldung: Es genügt eine einzige präparierte HTTP-Anfrage an einen der betroffenen Versionsendpunkte des Servers, um beliebigen Code auf dem System auszuführen. Der Code läuft dabei mit den Rechten des Kontos, unter dem der Dienst betrieben wird. Da AM als zentrale Komponente für Authentifizierung und Zugriffssteuerung dient, kann ein erfolgreicher Angriff die Absicherung sämtlicher angebundener Anwendungen und Identitäten untergraben.