Ping Identity’nin Pingam Java ajanının desteklenen sürümlerinde kritik bir güvenlik kusuru (CVE-2025-20059) tanımlanmış ve potansiyel olarak saldırganların politika uygulanmasını atlamasını ve korunan kaynaklara erişmesini sağlayan.
Göreceli bir yol geçiş (CWE-23) zayıflığı olarak sınıflandırılan güvenlik açığı, Pingone Advanced Identity Cloud ile entegre olan tüm Pingam Java Agent dağıtımlarını etkiler ve acil iyileştirme çağrılarını başlatır.
Güvenlik Açığı Kapsamı ve Şiddet
Kusur, Pingam Java Agent Sürümleri 2024.9, 2024.6, 2023.11.1 ve 5.10.3’ün yanı sıra daha önceki desteklenmeyen sürümleri etkiler.
Şiddetle “kritik” olarak derecelendirilen güvenlik açığı, kötü niyetli aktörlerin URL yollarını güvenlik politikalarını atlatmak için manipüle etmesine izin verebilir.
Teknik özellikler sömürü önlemek için açıklanmazken, güvenlik analistleri sorunun, ajanın gelen HTTP taleplerini, özellikle URL yollarında noktalı virgül içeren kişilerde nasıl işlediğinde yer aldığını doğrulamaktadır.
Ping Identity’nin danışmanlığı, Pingone Advanced Identity Cloud ile etkilenen ajan sürümlerini kullanan kuruluşların hafifletmeye öncelik vermesi gerektiğini vurgulamaktadır.
Bir ping kimliği sözcüsü, “Bu güvenlik açığı Java ajanının temel uygulama mekanizmalarını baltalıyor” dedi. “Hassas sistemlere yetkisiz erişimi önlemek için acil eylem gereklidir.”
Azaltma stratejileri
Pingam Java Agent 2024.9’u çalıştıran kuruluşlar için geçici bir düzeltme, AgentBootStrap.properties dosyasını şunları ekleyerek değiştirmeyi içerir:
org.forgerock.agents.raw.url.path.invalidation.regex.list=;Bu Regex tabanlı kural, yollarında noktalı virgül içeren URL’leri engeller ve bu tür istekler için HTTP 400 hatalarını döndürür.
Bununla birlikte, Ping Identity, bu geçici çözümün URL’lerde noktalı virgül gerektiren meşru iş akışlarını bozabileceğine dikkat çekiyor.
Uzun vadeli çözüm için Ping Identity, kalıcı yamalar içeren Pingam Java Agent 2024.11, 2023.11.2 veya 5.10.4’e yükseltmeleri teşvik eder.
Eski veya desteklenmeyen sürümleri kullanan kuruluşlar, güvenlik güncellemeleri almak için sürdürülebilir bir sürüme geçmelidir.
Açıklama, saldırganlar için yüksek değerli hedefler haline gelen kimlik ve erişim yönetimi (IAM) araçlarının artan incelemesini izlemektedir.
Gartner analisti Michael Johnson, “IAM ajanları kurumsal kaynaklara geçitte oturuyor. Buradaki bir güvenlik açığı, saldırganlara kritik sistemlerin anahtarlarını etkili bir şekilde veriyor. ”
Hiçbir aktif istismar doğrulanmamış olsa da, kusurla ilgili ayrıntılı kamuya açık belgelerin olmaması, ping kimliğinin koordineli açıklama protokolleri altında çalıştığını göstermektedir.
Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA), hafta içinde bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-20059 eklemesi bekleniyor ve federal ajansları sorunu 21 gün içinde düzeltmeyi zorunlu kılmaktadır.
Ping Identity, ayrıntılı yükseltme talimatlarını yayınladı. Java Ajanını Yükselt Dokümantasyon Portalı.
Şirket ayrıca, ortaya çıkan tehditlerle ilgili gerçek zamanlı güncellemeler için güvenlik danışmanlarına abone olmayı önermektedir.
Yayın itibariyle, Pingone Advanced Identity Cloud’un temel hizmetleri etkilenmez, ancak Java Agent entegrasyonunu kullanan müşteriler, dağıtımlarını güvence altına almak için bağımsız olarak hareket etmelidir.
Bulut göçlerinin küresel olarak hızlanmasıyla uzmanlar, hibrid IAM mimarilerinin kurumsal güvenlik zincirlerindeki en zayıf bağlantı haline gelmemek için titiz güvenlik açığı yönetimi gerektirdiği konusunda uyarıyor.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free