Агентство США по кибербезопасности & Infrastructure Security Agency предупреждает о двух уязвимостях, используемых в атаках, включая обход путей, затрагивающий Apache OFBiz.
Apache OFBiz (Open For Business) – это популярная система планирования ресурсов предприятия (ERP) с открытым исходным кодом, которая предоставляет набор бизнес-приложений для управления различными аспектами деятельности организации. Благодаря своей универсальности и экономичности она используется в самых разных отраслях и на самых разных предприятиях.
Уязвимость, добавленая в каталог известных уязвимостей CISA ( KEV ), – CVE-2024-32113, уязвимость обхода пути, затрагивающая версии OFBiz до 18.12.13. В случае ее использования злоумышленники могут удаленно выполнять произвольные команды на уязвимых серверах.
Федеральным агентствам и государственным организациям дается срок до 28 августа 2024 года, чтобы применить доступные обновления безопасности и меры по устранению риска или прекратить использование продукта.
Вторая уязвимость, добавленная в KEV, для которого CISA установила такой же срок, – это CVE-2024-36971, нулевой день ядра Android, исправленный Google ранее на этой неделе.
Детали уязвимости OFBiz
Уязвимость Apache OFBiz CVE-2024-32113 была устранена 8 мая 2024 года. К концу месяца исследователи безопасности опубликовали полную информацию об эксплуатации, демонстрирующую, как дефект может быть использован для развертывания вредоносного ПО и перехода в другие сегменты сети.
Проблема вызвана сочетанием недостаточной проверки ввода и некорректной обработки данных, предоставляемых пользователем, в частности, отсутствием санитарной обработки URL-адресов, что позволяет последовательности обхода каталогов, такие как ../ и ;, обходить фильтры безопасности.
Кроме того, при выполнении пользовательских скриптов Groovy используется неадекватный блок-листинг, который не блокирует опасные команды и позволяет злоумышленникам выполнять произвольный код.
Вскоре после того, как исследователь безопасности «Unam4» опубликовал в своем блоге подробности эксплуатации этой уязвимости, другие пользователи воспользовались полученной информацией для разработки рабочих эксплойтов, которые они выложили на GitHub.
Новый предварительный аутентификатор RCE
В то время как CISA предупреждает об активной эксплуатации CVE-2024-32113, ранее на этой неделе был обнаружен новый дефект, затрагивающий более поздние версии Apache OFBiz.
Отслеживаемый как CVE-2024-38856, дефект представляет собой критическую (CVSS score: 9.8) проблему удаленного выполнения кода перед аутентификацией, затрагивающую Apache OFBiz версий до 18.12.14.
В понедельник SonicWall «опубликовала подробную техническую информацию» о CVE-2024-38856, а на GitHub было размещено несколько эксплойтов для доказательства концепции.
Таким образом, активная эксплуатация со стороны угрожающих субъектов, скорее всего, начнется в любой момент.
Данная проблема была исправлена в версии OFBiz 18.12.15, которую следует обновить всем пользователям программы.