Tổng quan về lỗ hổng
Lỗ hổng được phân loại là một điểm yếu Truy cập Đường dẫn Tương đối (CWE-23), cho phép kẻ tấn công thao túng các đường dẫn URL và vượt qua các chính sách bảo mật. Nó được đánh giá là “Nghiêm trọng” với điểm CVSS là 9.2.
Các phiên bản bị ảnh hưởng
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản hỗ trợ của PingAM Java Agent, bao gồm:
- 2024.9
- 2024.6
- 2023.11.1
- 5.10.3
- Các phiên bản cũ hơn, không được hỗ trợ cũng có thể bị ảnh hưởng.
Chiến lược giảm thiểu
Sửa chữa tạm thời cho 2024.9:
Quản trị viên có thể sửa đổi tệp AgentBootstrap.properties bằng cách thêm
org.forgerock.agents.raw.url.path.invalidation.regex.list=; để chặn các URL chứa dấu chấm phẩy, trả về lỗi HTTP 400.
Giải pháp lâu dài: Các tổ chức nên nâng cấp lên các phiên bản được vá mới nhất:
- PingAM Java Agent 2024.11
- PingAM Java Agent 2023.11.2
- PingAM Java Agent 5.10.4
Ảnh hưởng và tính cấp bách
Lỗ hổng này làm suy yếu các cơ chế thực thi cốt lõi của Java Agent, vì vậy rất cần thiết cho các tổ chức phải hành động ngay lập tức để ngăn chặn truy cập trái phép vào các hệ thống nhạy cảm. Ping Identity đã kêu gọi các tổ chức ưu tiên việc giảm thiểu, nhấn mạnh rằng việc thiếu tài liệu công khai chi tiết cho thấy các quy trình tiết lộ phối hợp.
Khuyến nghị bổ sung
Các tổ chức nên thực thi xác thực đầu vào nghiêm ngặt, triển khai phân đoạn mạng và liên tục giám sát các hoạt động truy cập tệp đáng ngờ hoặc cố gắng tiêm tham số. Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) dự kiến sẽ thêm CVE-2025-20059 vào Danh mục Lỗ hổng đã biết bị khai thác, buộc các cơ quan liên bang phải khắc phục vấn đề trong vòng 21 ngày.
