Apache savo atvirojo kodo OFBiz (Open For Business) programinėje įrangoje ištaisė kritinį saugos pažeidžiamumą, kuris gali leisti užpuolikams vykdyti savavališką kodą pažeidžiamuose Linux ir Windows serveriuose.
OFBiz yra ryšių su klientais valdymo (CRM) ir įmonės išteklių planavimo (ERP) verslo programų rinkinys, kuris taip pat gali būti naudojamas kaip Java pagrindu sukurta žiniatinklio sistema kuriant žiniatinklio programas.
Šis nuotolinio kodo vykdymo trūkumas, pažymėtas kaip CVE-2024-45195 ir aptiktas Rapid7 saugos tyrinėtojų, atsiranda dėl priverstinio naršymo silpnumo, dėl kurio apriboti keliai atsiranda neautentifikuotų tiesioginių užklausų atakoms.
„Užpuolikas, neturintis galiojančių kredencialų, gali išnaudoti žiniatinklio taikomosios programos trūkstamos peržiūros prieigos patikrinimus, kad paleistų savavališką kodą serveryje“, – ketvirtadienį ataskaitoje, kurioje pateiktas koncepcijos įrodymo išnaudojimo kodas, paaiškino saugumo tyrinėtojas Ryanas Emmonsas.
„Apache“ saugos komanda pataisė 18.12.16 versijos pažeidžiamumą pridėdama įgaliojimų patikras. OFBiz vartotojams patariama kuo greičiau atnaujinti savo įrenginius, kad būtų užblokuotos galimos atakos.
Apeiti ankstesnes saugos pataisas
Kaip šiandien paaiškino Emmonsas, CVE-2024-45195 yra trijų kitų OFBiz spragų, kurios buvo pataisytos nuo metų pradžios, pataisos, kurios stebimos kaip CVE-2024-32113, CVE-2024-36104 ir CVE-2024. -38856.
„Remiantis mūsų analize, trys iš šių pažeidžiamumų iš esmės yra tas pats pažeidžiamumas su ta pačia pagrindine priežastimi“, – pridūrė Emmonsas.
Visus juos sukelia valdiklio rodinio žemėlapio suskaidymo problema, leidžianti užpuolikams vykdyti kodo arba SQL užklausas ir pasiekti nuotolinį kodo vykdymą be autentifikavimo.
Rugpjūčio pradžioje CISA perspėjo, kad CVE-2024-32113 OFBiz pažeidžiamumas (pataisytas gegužę) buvo išnaudojamas atakose, praėjus kelioms dienoms po to, kai SonicWall tyrėjai paskelbė techninę informaciją apie CVE-2024-38856 išankstinio autentifikavimo RCE klaidą.
CISA taip pat įtraukė dvi saugos klaidas į savo aktyviai naudojamų pažeidžiamumų katalogą, reikalaudama, kad federalinės agentūros per tris savaites pataisytų savo serverius, kaip reikalaujama privalomoje veiklos direktyvoje (BOD 22-01), išleistoje 2021 m. lapkritį.
Nors BOD 22-01 taikomas tik Federalinės civilinės vykdomosios valdžios (FCEB) agentūroms, CISA paragino visas organizacijas teikti pirmenybę šių trūkumų taisymui, kad būtų užkirstas kelias atakoms, kurios gali būti nukreiptos į jų tinklus.
Gruodį užpuolikai pradėjo išnaudoti kitą OFBiz išankstinio autentifikavimo nuotolinio kodo vykdymo pažeidžiamumą (CVE-2023-49070), naudodami viešąjį koncepcijos įrodymo (PoC) išnaudojimą, kad surastų pažeidžiamus Confluence serverius.
