PingAM Java Agent Vulnerability Allows Attackers to Bypass Security
PingAM Java Agent Vulnerability Allows Attackers to Bypass Security
A critical security flaw (CVE-2025-20059) has been identified in supported versions of Ping Identity’s PingAM Java Agent, potentially enabling attackers to bypass policy enforcement and access protected resources.
gbhackers.com
- 취약점 개요
- Ping Identity의 PingAM Java Agent에서 보안 정책을 우회할 수 있는 상대적 경로 이동(Relative Path Traversal, CWE-23) 취약점 발견
- 해당 취약점은 PingOne Advanced Identity Cloud와 통합된 모든 PingAM Java Agent 배포 환경에 영향을 미침
- 공격자가 URL 경로 조작을 통해 보안 정책을 우회하고 보호된 리소스에 무단 접근 가능
- CVE-2025-20059로 지정되었으며, 심각도는 "치명적(Critical)" 수준
- 영향받는 버전
- PingAM Java Agent 2024.9, 2024.6, 2023.11.1, 5.10.3 및 이전의 지원되지 않는 모든 버전
- 취약점 원인 및 공격 방식
- 공격자는 URL 경로 내 세미콜론(;)을 포함하여 보안 정책을 우회할 수 있음
- HTTP 요청을 처리하는 과정에서 보안 정책이 정상적으로 적용되지 않는 문제가 존재
- IAM(Identity and Access Management) 솔루션이 주요 공격 타겟이 되는 상황에서 해당 취약점의 위험성이 매우 큼
- 완화 및 대응 방안
- 단기적 대응책
- PingAM Java Agent 2024.9 사용자: AgentBootstrap.properties 파일 수정
org.forgerock.agents.raw.url.path.invalidation.regex.list=; - 해당 설정을 추가하면 세미콜론(;)이 포함된 URL 요청을 차단(HTTP 400 오류 반환)
- 단, 세미콜론을 필요로 하는 정상적인 워크플로우에도 영향을 미칠 수 있음
- PingAM Java Agent 2024.9 사용자: AgentBootstrap.properties 파일 수정
- 장기적 해결책
- 취약점 패치가 적용된 최신 버전으로 즉시 업그레이드 권장
- 업그레이드 대상 버전: PingAM Java Agent 2024.11, 2023.11.2, 5.10.4
- 지원되지 않는 구버전 사용자는 최신 버전으로 마이그레이션 필요
- Ping Identity의 "Upgrade Java Agent" 문서 참고하여 최신 패치 적용
- 단기적 대응책
- 공격 동향 및 정부 대응
- 현재까지 공격 사례는 공식 확인되지 않았으나, 취약점 악용 가능성이 매우 높음
- 미국 CISA, CVE-2025-20059를 Known Exploited Vulnerabilities (KEV) 목록에 추가 예정
- 미국 연방 기관은 21일 내 패치 적용 의무화
- 결론
- IAM(Identity and Access Management) 솔루션은 기업의 주요 시스템 접근을 통제하는 핵심 보안 요소로 취약점이 발생할 경우 기업 전체 보안에 치명적 영향을 미칠 수 있음
- PingAM Java Agent를 사용하는 모든 조직은 가능한 한 신속히 패치 적용
- IAM 아키텍처를 유지하는 기업들은 하이브리드 환경의 취약점 관리를 철저히 수행해야 함