Açık kaynaklı bir kurumsal kaynak planlama (ERP) sistemi olan Apache OFBiz’de kimliği doğrulanmamış saldırganların uzaktan keyfi kod yürütmesine izin verebilecek kritik bir sıfır günlük güvenlik açığı keşfedildi. CVSS puanı 9,8 olan ve CVE-2024-38856 olarak izlenen bu güvenlik açığı, 18.12.14’e kadar olan tüm Apache OFBiz sürümlerini etkiliyor.
Güvenlik açığı, SonicWall’un Capture Labs tehdit araştırma ekibindeki araştırmacılar tarafından ortaya çıkarıldı. Bu, kritik uç noktaları özel olarak hazırlanmış istekler kullanarak kimliği doğrulanmamış tehdit aktörlerine ifşa eden geçersiz kılma görünümü işlevselliğindeki bir kusurdan kaynaklanmaktadır. Bu, herhangi bir kimlik doğrulaması gerektirmeden uzaktan kod yürütülmesine yol açabilir.
Kuruluşlar muhasebe, insan kaynakları, müşteri ilişkileri yönetimi ve e-ticaret gibi çeşitli iş süreçlerini yönetmek için yaygın olarak Apache OFBiz’i kullanıyor.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
Mevcut verilere göre, yaklaşık 170 şirket Apache OFBiz’i kullanıyor ve kullanıcıların %41’i Amerika Birleşik Devletleri’nde bulunuyor. Önemli kullanıcılar arasında United Airlines, Atlassian JIRA, Home Depot, HP ve Upwork yer alıyor.
Araştırmacılar, daha önce düzeltilen bir açığı (CVE-2024-36104) analiz ederken bu açığı keşfettiler. Belirli istek parametrelerinin değiştirilmesinin kimlik doğrulama kontrollerini atlatabileceğini ve kısıtlı uç noktalara erişebileceğini buldular.
SonicWall, Apache OFBiz ekibine bu açığı sorumlu bir şekilde ifşa etti ve ekip derhal bir yama geliştirip yayınladı. Riski azaltmak için kullanıcıların OFBiz kurulumlarını 18.12.15 veya daha yeni bir sürüme yükseltmeleri şiddetle tavsiye edilir.
Bu, SonicWall’un Apache OFBiz’deki son aylardaki ikinci büyük güvenlik açığını oluşturuyor; Aralık 2023’te bulunan bir diğer kritik kusurun ardından. Birbirini izleyen ciddi güvenlik açıkları, kritik iş yazılımları için zamanında yama uygulamasının ve devam eden güvenlik değerlendirmelerinin önemini vurguluyor.
Şu anda, bu güvenlik açığının vahşi doğada aktif olarak kullanıldığına dair bir kanıt bulunmamaktadır. Ancak, kusurun kritik niteliği ve Apache OFBiz’in kurumsal ortamlarda yaygın kullanımı göz önüne alındığında, kuruluşların sistemlerini korumak için derhal harekete geçmeleri önerilir.
Apache OFBiz’deki güvenlik açığı derhal ele alındı ve aşağıdaki commit ile düzeltildi.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide