Apache, saldırganların güvenlik açığı bulunan Linux ve Windows sunucularında keyfi kod çalıştırmasına olanak tanıyan açık kaynaklı OFBiz (Open For Business) yazılımındaki kritik bir güvenlik açığını giderdi.
OFBiz, web uygulamaları geliştirmek için Java tabanlı bir web çerçevesi olarak da kullanılabilen bir müşteri ilişkileri yönetimi (CRM) ve kurumsal kaynak planlama (ERP) iş uygulamaları paketidir.
Rapid7 güvenlik araştırmacıları tarafından keşfedilen ve CVE-2024-45195 olarak izlenen bu uzaktan kod yürütme açığı, kimliği doğrulanmamış doğrudan istek saldırılarına kısıtlı yolları açığa çıkaran bir zorunlu tarama zayıflığından kaynaklanıyor.
Güvenlik araştırmacısı Ryan Emmons, Perşembe günü kavram kanıtı istismar kodu içeren bir raporda, “Geçerli kimlik bilgileri olmayan bir saldırgan, web uygulamasındaki eksik görünüm yetkilendirme kontrollerini istismar ederek sunucuda keyfi kod çalıştırabilir” açıklamasını yaptı.
Apache güvenlik ekibi, 18.12.16 sürümünde yetkilendirme kontrolleri ekleyerek bu açığı kapattı. OFBiz kullanıcılarının olası saldırıları engellemek için kurulumlarını en kısa sürede yükseltmeleri önerilir.
Önceki güvenlik yamalarını atlat
Emmons’ın bugün daha detaylı açıkladığı üzere, CVE-2024-45195, yıl başından bu yana yama uygulanan ve CVE-2024-32113, CVE-2024-36104 ve CVE-2024-38856 olarak izlenen diğer üç OFBiz güvenlik açığı için bir yama atlama yöntemidir.
Emmons, “Analizimize göre, bu güvenlik açıklarından üçü, esasen aynı temel nedene sahip aynı güvenlik açığıdır” diye ekledi.
Bunların hepsi, saldırganların kimlik doğrulaması olmadan uzaktan kod yürütmesine ve kod veya SQL sorguları yürütmesine olanak tanıyan bir denetleyici görünümü eşleme parçalanması sorunundan kaynaklanmaktadır.
Ağustos ayının başlarında CISA, SonicWall araştırmacılarının CVE-2024-38856 ön kimlik doğrulama RCE hatasıyla ilgili teknik ayrıntıları yayınlamasından birkaç gün sonra, CVE-2024-32113 OFBiz güvenlik açığının (Mayıs ayında düzeltildi) saldırılarda istismar edildiği konusunda uyarıda bulundu.
CISA ayrıca, Kasım 2021’de yayınlanan bağlayıcı operasyonel direktif (BOD 22-01) uyarınca federal kurumların sunucularını üç hafta içinde yamalamasını gerektiren aktif olarak istismar edilen güvenlik açıkları kataloğuna iki güvenlik açığını da ekledi.
BOD 22-01 yalnızca Federal Sivil Yürütme Organı (FCEB) kurumlarını ilgilendirse de CISA, tüm kuruluşları ağlarını hedef alabilecek saldırıları engellemek için bu kusurları düzeltmeye öncelik vermeye çağırdı.
Aralık ayında saldırganlar, savunmasız Confluence sunucularını bulmak için genel kavram kanıtı (PoC) istismarlarını kullanarak OFBiz’in ön kimlik doğrulama uzaktan kod yürütme güvenlik açığından (CVE-2023-49070) yararlanmaya başladı.