Açık kaynaklı kurumsal kaynak planlama (ERP) sistemi Apache OFBiz’de, tehdit aktörlerinin etkilenen örneklerde uzaktan kod yürütme gerçekleştirmesine olanak sağlayabilecek yeni bir sıfır günlük ön kimlik doğrulama uzaktan kod yürütme güvenlik açığı ortaya çıkarıldı.
Takip edildi CVE-2024-38856kusurun CVSS puanı 10.0’lık maksimum puan üzerinden 9.8’dir. 18.12.15’ten önceki Apache OFBiz sürümlerini etkiler.
Eksiği tespit edip bildiren SonicWall, yaptığı açıklamada, “Güvenliğin temel nedeni kimlik doğrulama mekanizmasındaki bir kusurdan kaynaklanıyor” dedi.
“Bu kusur, kimliği doğrulanmamış bir kullanıcının, genellikle kullanıcının oturum açmasını gerektiren işlevlere erişmesine olanak tanıyarak uzaktan kod yürütülmesinin önünü açıyor.”
CVE-2024-38856 aynı zamanda 18.12.14 sürümünün yayınlanmasıyla Haziran ayı başında giderilen bir yol geçiş güvenlik açığı olan CVE-2024-36104 için bir yama atlama yöntemidir.
SonicWall, söz konusu açığın, kimliği doğrulanmamış tehdit aktörlerine kritik uç noktaları açığa çıkaran geçersiz kılma görünümü işlevselliğinde bulunduğunu ve bu aktörlerin özel olarak hazırlanmış istekler aracılığıyla uzaktan kod yürütme elde etmek için bunu kullanabileceklerini belirtti.
Güvenlik araştırmacısı Hasib Vhora, “ProgramExport uç noktasına, kimlik doğrulaması gerektirmeyen diğer uç noktalarla zincirlenerek, geçersiz kılma görünümü işlevi kötüye kullanılarak kimlik doğrulaması yapılmamış erişime izin verildi” dedi.
Bu gelişme, OFBiz’deki uzaktan kod yürütmeye yol açabilecek başka bir kritik yol geçişi güvenlik açığının (CVE-2024-32113) Mirai botnet’ini dağıtmak için aktif olarak istismara girmesiyle birlikte geldi. Mayıs 2024’te yamalandı.
Aralık 2023’te SonicWall, aynı yazılımda kimlik doğrulama korumalarını aşmayı mümkün kılan o zamanki sıfır günlük bir açığı (CVE-2023-51467) da ifşa etti. Daha sonra çok sayıda istismar girişimine maruz kaldı.