Apache ha corretto una vulnerabilità critica di sicurezza nel suo software open source OFBiz (Open For Business). Questa che potrebbe consentire agli aggressori di eseguire codice arbitrario su server Linux e Windows vulnerabili. OFBiz è una suite di applicazioni aziendali di customer relationship management (CRM) e enterprise resource planning (ERP). Può anche essere utilizzata come framework web basato su Java per lo sviluppo di applicazioni web.
Tracciato come CVE-2024-45195 e scoperto dai ricercatori di sicurezza Rapid7, questo difetto di esecuzione di codice remoto è causato da una debolezza di navigazione forzata che espone percorsi limitati ad attacchi di richiesta diretta non autenticati. Come ricordato dal ricercatore di sicurezza Ryan Emmons in un report contenente codice exploit proof-of-concept: “un aggressore senza credenziali valide può sfruttare i controlli di autorizzazione di visualizzazione mancanti nell’applicazione Web per eseguire codice arbitrario sul server“. Il team di sicurezza di Apache ha corretto la vulnerabilità nella versione 18.12.16 aggiungendo controlli di autorizzazione. Si consiglia agli utenti di OFBiz di aggiornare le proprie installazioni il prima possibile per bloccare potenziali attacchi.
Apache: Bypass per patch di sicurezza precedenti
Come Emmons ha spiegato ulteriormente, CVE-2024-45195 è un bypass di patch per altre tre vulnerabilità OFBiz. Queste che sono state corrette dall’inizio dell’anno e sono tracciate come CVE-2024-32113, CVE-2024-36104 e CVE-2024-38856. Secondo il ricercatore: “in base alla nostra analisi, tre di queste vulnerabilità sono, essenzialmente, la stessa vulnerabilità con la stessa causa principale“. I bug sono tutti causati da un problema di frammentazione della mappa controller-view. Ciò consente agli aggressori di eseguire codice o query SQL e ottenere l’esecuzione di codice remoto senza autenticazione. All’inizio di agosto, la CISA ha avvisato che la vulnerabilità CVE-2024-32113 OFBiz (corretta a maggio). Questa era stata sfruttata negli attacchi pochi giorni dopo che i ricercatori di SonicWall avevano pubblicato i dettagli tecnici sul bug RCE di pre-autenticazione CVE-2024-38856.
La CISA ha anche aggiunto i due bug di sicurezza al suo catalogo di vulnerabilità attivamente sfruttate, richiedendo alle agenzie federali di correggere i propri server entro tre settimane. Ciò come previsto dalla direttiva operativa vincolante (BOD 22-01) emessa a novembre 2021. Sebbene BOD 22-01 si applichi solo alle agenzie del Federal Civilian Executive Branch (FCEB), CISA ha esortato tutte le organizzazioni a dare priorità alla correzione di queste falle per contrastare gli attacchi che potrebbero colpire le loro reti. Infine, a dicembre, gli aggressori hanno iniziato a sfruttare un’altra vulnerabilità di esecuzione di codice remoto con pre-autenticazione OFBiz (CVE-2023-49070) utilizzando exploit di proof of concept (PoC) pubblici per trovare server Confluence vulnerabili.