Apache OFBiz’in en son sürümü hariç tüm sürümlerini etkileyen hatalı yetkilendirme güvenlik açığı olan CVE-2024-38856, uzaktan, kimliği doğrulanmamış saldırganlar tarafından güvenlik açığı bulunan sistemlerde keyfi kod çalıştırmak için kullanılabilir.
CVE-2024-38856 Hakkında
Apache OFBiz, insan kaynakları, muhasebe, envanter yönetimi, müşteri ilişkileri yönetimi, pazarlama vb. gibi ortak iş ihtiyaçlarını karşılayan web uygulamalarını kapsayan, kurumsal kaynak planlama (ERP) için açık kaynaklı bir çerçevedir.
Keşfi SonicWall’un Capture Labs’ında kıdemli tehdit araştırmacısı olan Hasib Vhora ve diğer birçok güvenlik araştırmacısına atfedilen CVE-2024-38856, v18.12.14 dahil olmak üzere tüm Apache OFBiz sürümlerini etkiliyor.
Apache OFBiz geliştiricisi Jacques Le Roux’nun güvenlik açığına ilişkin açıklaması ayrıntılardan uzak olsa da, Vhora konuyla ilgili ayrıntılı bir teknik yazı yayınladı.
Bu güvenlik açığı, kendisi ve meslektaşlarının daha önce düzeltilmiş bir yol geçiş açığının (CVE-2024-36104) herkese açık bir PoC açığı tarafından nasıl tetiklenebileceğini analiz etmeleri sırasında keşfedildi.
Kimlik doğrulaması gerektirmeyen herhangi bir uç noktayı zincirleyerek, kimliği doğrulanmamış belirli bir uç noktaya erişim elde etmek için geçersiz kılma görünümü işlevini kötüye kullanabileceklerini keşfettiler.
Aktif sömürüye dair kanıt yok
Almanya Federal Bilgi Güvenliği Ofisi’nin (BSI) yayınladığı duyuruya göre, CVE-2024-38856’nın CVSS Taban Puanı 9,8 (kritik), Zaman Puanı ise 8,5 (yüksek) olarak belirlendi.
“[CVE-2024-38856] Vhora, “Hazırlanmış bir istek kullanarak kimliği doğrulanmamış tehdit aktörlerine kritik uç noktaları açığa çıkarıyor ve uzaktan kod yürütülmesinin önünü açıyor” şeklinde açıkladı.
Söz konusu açığın çözümü yaklaşık bir ay önce yayınlanan v18.12.15 sürümüne eklendi ve etkili olduğu doğrulandı.
Kullanıcıların, özellikle SANS İnternet Fırtına Merkezi’nin yakın zamanda yayınladığı ve OFBiz’in v18.12.12’ye kadar olan sürümlerini etkileyen bir yol geçiş güvenlik açığı olan CVE-2024-32113’ü istismar etmeye çalışan saldırganlar konusunda uyaran raporu göz önünde bulundurulduğunda, kurulumlarını mümkün olan en kısa sürede yükseltmeleri önerilir.
“OFBiz, ticari alternatiflere göre çok daha az yaygın görünüyor. Ancak, diğer tüm ERP sistemlerinde olduğu gibi, kuruluşlar hassas iş verileri için ona güveniyor ve bu ERP sistemlerinin güvenliği kritik önem taşıyor,” diye belirtti SANS Teknoloji Enstitüsü Araştırma Dekanı Johannes Ullrich.
SonicWall, Apache OFBiz ekibinin 24 saat içinde CVE-2024-38856 için bir düzeltme bulduğunu ve şu anda bu açığın aktif olarak istismar edildiğinden haberdar olmadıklarını söylüyor.