Güvenlik Operasyonları
Apache OFBiz’deki Kusurlar Kritik İşlevleri Riske Atıyor
Prajeet Nair (@prajeetskonuşuyor) •
5 Ağustos 2024
Apache OFBiz’deki sıfır günlük ön kimlik doğrulama açığı, yetkisiz uzaktan kod yürütülmesine olanak sağlayarak kritik işlevleri riske atıyor.
Ayrıca bakınız: Forrester Wave™: Bulut İş Yükü Güvenliği, 1. Çeyrek 2024
SonicWall araştırmacıları tarafından ortaya çıkarılan ve CVE-2024-38856 olarak adlandırılan bu kritik açığın CVSS puanı 9,8’dir.
Apache OFBiz, Apache Yazılım Vakfı tarafından geliştirilen açık kaynaklı bir kurumsal kaynak planlama sistemidir. Muhasebe, insan kaynakları, müşteri ilişkileri yönetimi, sipariş yönetimi ve üretim gibi işlevleri destekler.
Sistem son derece özelleştirilebilir, farklı iş ihtiyaçlarına göre uyarlanabilir ve United Airlines, Atlassian JIRA ve Lindt Chocolate Club gibi büyük şirketler tarafından kullanılıyor.
Güvenlik açığının temel nedeni, kimliği doğrulanmamış kullanıcıların genellikle oturum açmış kullanıcılarla sınırlı işlevlere erişmesine izin veren OFBiz’in kimlik doğrulama mekanizmasındaki bir kusurda yatmaktadır. Bu, uzaktan kod yürütülmesine yol açabilir ve saldırganlara etkilenen sistemde keyfi kod yürütme yeteneği verebilir.
SonicWall, sorunun uç nokta isteklerinin uygunsuz şekilde işlenmesinden kaynaklandığını söyledi. Araştırmacılar, isteğin bir bölümünde kimlik doğrulama kontrollerinin gerçekleştirildiğini ancak başka bir bölümünün kontrolleri atladığını buldu.
Bu güvenlik açığı, OFBiz sisteminde istek URI’si ile geçersiz kılma görünümü URI’sinin işlenmesindeki farktan yararlanıyor.
İstek URI’si kimlik doğrulama kontrollerinden geçerken, son kaynağa işaret eden geçersiz kılma görünümü URI’si geçmez. Bu tutarsızlık, saldırganların kimlik doğrulamayı atlatan istekler oluşturmasına olanak tanır ve bu da yetkisiz erişime ve kritik uç noktaların potansiyel olarak istismar edilmesine yol açar.
Daha önce Aralık 2023’te Apache OFBiz’de başka bir büyük kusur tespit eden SonicWall araştırmacıları, CVE-2024-36104 güvenlik açığını analiz ederken bu son sorunu keşfettiler. Analizleri, kimlik doğrulama sürecindeki kusurlu mantığın belirli uç noktalara kimliği doğrulanmamış erişime izin verdiğini ve uzaktan kod yürütmenin önünü açtığını ortaya koydu.
Bu açığı kapatmak için Apache OFBiz, yetkisiz erişimleri engellemek için geliştirilmiş izin kontrolleri içeren 18.12.15 sürümünü yayınladı.
SonicWall araştırmacıları, güvenlik açığının bildirilmesinden analiz için bir yama alınmasına kadar geçen sürenin 24 saatten az olduğunu söyledi. Siber güvenlik firması ayrıca bu güvenlik açığının herhangi bir etkin istismar girişimini tespit etmek için bir IPS imzası geliştirdi.
Şu anda CVE-2024-38856’nın aktif olarak kullanıldığına dair bir kanıt olmasa da SonicWall, olası saldırılara karşı koruma sağlamak için tüm Apache OFBiz kullanıcılarının örneklerini en son sürüme yükseltmelerini şiddetle önermektedir.
Apache OFBiz’in kullanıcı tabanı çeşitli sektörlere yayılmış olup, bilişim teknolojileri ve hizmetleri, bilgisayar yazılımları ve perakende sektörlerinde önemli kullanım alanı bulunmaktadır.