CISA’nın sahip olduğu kritik bir güvenlik açığı eklendi Apache OFBiz açık kaynaklı kurumsal kaynak planlama (ERP) sisteminde Bilinen Açıklardan Yararlanılan Güvenlik Açıkları (KEV) kataloğuna.
Apache OFBiz, endüstrilerin müşteri ilişkileri, insan kaynakları işlevleri, sipariş işleme ve depo yönetimi gibi operasyonlarını yönetmelerine yardımcı olan bir sistemdir. Yaklaşık 170 şirket Apache OFBiz’i kullanıyor ve bunların %41’i ABD’de. Platform web sitesine göre bunlar arasında United Airlines, Home Depot ve HP Development gibi önemli isimler de yer alıyor.
Takip edildi CVE-2024-38856hatanın CVSS güvenlik açığı ciddiyet ölçeğinde 10 üzerinden 9,8 puan alması, ön kimlik doğrulamalı uzaktan kod yürütmeye (RCE) izin vermesi nedeniyledir. CISA’nın bu hamlesi, kusurun Ağustos ayı başında ifşa edilmesinin ardından kavram kanıtı (PoC) istismarlarının kamuoyuna açıklanmasının ardından geldi.
Tehditlere karşı önlem almak için kuruluşların 18.12.15 sürümüne güncelleme yapması gerekiyor. Federal Sivil Yürütme Birimi (FCEB) kurumlarına bunu yapmaları için 17 Eylül’e kadar süre verildi.
Bir Zaaf Başka Bir Zaafiyetin Doğuşuna Yol Açar
CVE-2024-38856 ilk olarak bu ayın başlarında SonicWall araştırmacıları tarafından, platformdaki farklı bir RCE açığı olan CVE-2024-36104’ü analiz ederken keşfedildi.
CVE-2024-36104, kullanıcı isteklerinin yetersiz bir şekilde doğrulanması nedeniyle uzak saldırganların sistem dizinlerine erişmesine izin verir. Bu, özellikle şu nedenlerden dolayı gerçekleşir: KontrolServlet’i Ve İstek İşleyicisi aynı isteği aldıktan sonra işlemek için farklı uç noktaları alan işlevler. Doğru şekilde çalışıyorsa, her ikisi de işlemek için aynı uç noktayı almalıdır.
Araştırmacılar, CVE-2024-36104 için bir yamayı test ederken, ProgramExport uç noktası yoluyla kimliği doğrulanmamış erişime izin veren ve potansiyel olarak keyfi kod yürütülmesine olanak sağlayabilecek ve kısıtlanması gereken bir sonraki kusur olan CVE-2024-38856’yı keşfettiler.
Sömürüden Kaçınma
SonicWall araştırmacıları bir blog yazısında, bir tehdit aktörünün aşağıdaki girdiyi kullanarak CVE-2024-38856’yı istismar edebileceği ve ardından sonraki çıktıyı elde edebileceği bir saldırı zincirine örnek verdiler:
“POST /webtools/control/forgotPassword/ProgramExport HTTP/1.1
groovyProgram=yeni bir İstisna fırlat (‘whoami’ .execute () .text) ;”
CVE-2024-36104’ü istismar etmek için kullanılabilecek diğer URL’ler şunlardır:
-
POST /webtools/control/forgotPassword/ProgramDışa Aktarma
-
POST /webtools/control/showDateTime/ProgramDışaAktar
-
POST /webtools/control/TestService/ProgramDışaAktar
-
POST /webtools/control/view/ProgramDışa Aktarma
-
POST /webtools/control/main/ProgramDışa Aktarma
Bu güvenlik açığı 18.12.14’e kadar Apache OFBiz’in tüm sürümlerini etkiliyor ve geçici yamalar bulunmuyor; kullanıcılar ve kuruluşlar, açığın olası suistimalini önlemek için en son sürüme yükseltme yapmalıdır.
Güncellemenin derhal yapılmaması, “tehdit aktörlerinin oturum açma parametrelerini manipüle etmesine ve hedef sunucuda keyfi kod yürütmesine olanak tanıyabilir” Zscaler’daki araştırmacılara göre Bu ayın başlarında hatayı analiz eden kişi de, özellikle saldırganların kamuya açık PoC istismarlarından giderek daha fazla yararlanmaya başlamasıyla birlikte, bu hatayı daha da kötüleştirdi.