ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), açık kaynaklı kurumsal kaynak planlama (ERP) sistemi Apache OFBiz’i etkileyen bir güvenlik açığını işaretledi. CVE-2024-38856 olarak tanımlanan bu Apache OFBiz güvenlik açığı, vahşi doğada istismar edildiğine dair devam eden kanıtlar nedeniyle CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklendi.
CVE-2024-38856, 9,8 CVSS puanı ile derecelendirildi ve ciddiyet açısından kritik olarak sınıflandırıldı. Bu güvenlik açığı, saldırganların önceden kimlik doğrulaması olmadan uzaktan kod yürütmesine izin vererek etkilenen sistemler için ciddi bir risk oluşturuyor. Bu güvenlik açığı, saldırganlar tarafından kötü amaçlı olarak hazırlanmış istekler aracılığıyla istismar edilebilir ve uzaktan kod yürütülmesine yol açabilir.
Kritik Apache OFBiz Güvenlik Açığının (CVE-2024-38856) Kodunu Çözme
Apache OFBiz’in 18.12.13’e kadar olan sürümleri CVE-2024-36104’ten etkilenirken, 18.12.14’e kadar olan sürümleri CVE-2024-38856’dan etkilenmektedir. Apache OFBiz, müşteri ilişkileri yönetimi ve sipariş işleme gibi çeşitli işlevleri destekleyen popüler bir açık kaynaklı ERP sistemidir. Yaygın kullanımı nedeniyle OFBiz’deki güvenlik açıkları işletmeleri önemli ölçüde etkileyebilir.
Apache Yazılım Vakfı tarafından tanımlanan CVE-2024-38856, 5 Ağustos 2024’te yayınlanmış ve 28 Ağustos 2024’te güncellenmiştir. Bu kusur, 18.12.14’e kadar Apache OFBiz sürümlerinde yanlış yetkilendirmeyi içermekte olup, belirli uç noktalara kimliği doğrulanmamış erişime izin vermektedir.
Bu, özellikle ekran tanımları uç nokta yapılandırma sorunları nedeniyle kullanıcı izinlerini kontrol edemediğinde, belirli koşullar karşılandığında saldırganların ekran oluşturma kodunu yürütmesine olanak sağlayabilir. Güvenlik açığı CWE-863 Yanlış Yetkilendirme olarak sınıflandırılır.
Önerilen Eylemler
Apache OFBiz kullanan kuruluşların, CVE-2024-38856 kritik güvenlik sorununu gidermek için 18.12.15 sürümüne yükseltmeleri şiddetle tavsiye edilmektedir. Federal Sivil Yürütme Şubesi (FCEB) kurumları, olası istismarlara karşı koruma sağlamak için bu güncellemeyi 17 Eylül 2024 tarihine kadar uygulamalıdır.
Bu öneri, Ağustos ayında KEV kataloğuna eklenen bir diğer Apache OFBiz güvenlik açığı olan CVE-2024-32113’ün daha önceki tanımlanmasını takip ediyor. CVE-2024-32113, Mirai botnet’i kullanan saldırılarda istismar edilmişti ve bu tür kusurlarla ilişkili ciddi riskleri vurguluyordu. CVE-2024-38856 için belirli istismar ayrıntıları şu anda sınırlı olsa da, kavram kanıtı istismarlarının varlığı saldırganların bu güvenlik açığını aktif olarak hedef aldığını gösteriyor.
Apache OFBiz’deki bu güvenlik açıklarının ortaya çıkması, saldırganların yaygın olarak kullanılan yazılımlardaki bilinen kusurları istismar etme eğilimini yansıtmaktadır. Bu durum, kuruluşların zamanında güncellemeler uygulaması ve sistemlerini çevrimiçi tehditlere ve güvenlik açığı araştırmalarına karşı koruması için acil bir ihtiyaç olduğunu vurgulamaktadır. Bu güvenlik açıklarını ele alma konusunda rehberlik için kullanıcılar Apache OFBiz’in resmi güvenlik kaynaklarına ve tavsiyelerine başvurmalıdır.
Ayrıca, CISA “tüm kuruluşları, güvenlik açığı yönetimi uygulamalarının bir parçası olarak Katalog güvenlik açıklarının zamanında giderilmesine öncelik vererek siber saldırılara maruz kalma durumlarını azaltmaya şiddetle teşvik etmektedir. CISA, belirtilen ölçütleri karşılayan güvenlik açıklarını kataloğa eklemeye devam edecektir”.