ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Salı günü Apache OFBiz açık kaynaklı kurumsal kaynak planlama (ERP) sistemini etkileyen kritik bir güvenlik açığını, vahşi doğada aktif bir şekilde istismar edildiğine dair kanıtlara atıfta bulunarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
CVE-2024-38856 olarak bilinen güvenlik açığının CVSS puanı 9,8 olup kritik öneme sahip.
CISA, “Apache OFBiz, kimliği doğrulanmamış bir saldırganın OFBiz kullanıcı süreci bağlamında Groovy yükü aracılığıyla uzaktan kod yürütülmesine izin verebilecek yanlış bir yetkilendirme açığı içeriyor” dedi.
Güvenlik açığının detayları ilk olarak bu ayın başlarında SonicWall’un bunu, özel olarak hazırlanmış istekler aracılığıyla uzaktan kod yürütülmesine olanak tanıyan CVE-2024-36104 adlı başka bir açığın yama atlaması olarak tanımlamasının ardından gün yüzüne çıktı.
SonicWall araştırmacısı Hasib Vhora, “Geçersiz kılma görünümü işlevselliğindeki bir kusur, kritik uç noktaları, hazırlanmış bir istek kullanarak kimliği doğrulanmamış tehdit aktörlerine açık hale getiriyor ve uzaktan kod yürütülmesinin önünü açıyor” dedi.
Gelişme, CISA’nın Mirai botnetini dağıtmak için kötüye kullanıldığına dair raporların ardından Apache OFBiz’i (CVE-2024-32113) etkileyen üçüncü bir açığı KEV kataloğuna eklemesinden yaklaşık üç hafta sonra gerçekleşti.
CVE-2024-38856’nın vahşi doğada nasıl silahlandırıldığına dair henüz kamuya açık bir rapor olmasa da, kavram kanıtı (PoC) istismarları kamuya açık hale getirildi.
İki Apache OFBiz açığının aktif olarak istismar edilmesi, saldırganların kamuya açıklanmış açıklara önemli bir ilgi gösterdiğinin ve kötü niyetli amaçlar için hassas örnekleri fırsatçı bir şekilde ihlal etme eğiliminde olduğunun bir göstergesidir.
Tehditlere karşı önlem almak için kuruluşların 18.12.15 sürümüne güncelleme yapmaları öneriliyor. Federal Sivil Yürütme Organı (FCEB) kurumlarının gerekli güncellemeleri 17 Eylül 2024 tarihine kadar uygulamaları zorunlu hale getirildi.