Apache

米国サイバーセキュリティ&インフラセキュリティ局は、Apache OFBizに影響を与えるパストラバーサルを含む攻撃で悪用される2つの脆弱性について警告している。

Apache OFBiz(Open For Business)は、組織のさまざまな側面を管理するための一連のビジネス・アプリケーションを提供する、人気のあるオープンソースの企業資源計画(ERP)システムである。その汎用性と費用対効果の高さから、幅広い業種や事業規模で利用されている。

CISAのKnown Exploited Vulnerability Catalog(KEV)に追加された欠陥は、CVE-2024-32113で、OFBizの18.12.13以前のバージョンに影響を与えるパス・トラバーサルの脆弱性である。悪用された場合、攻撃者は脆弱なサーバ上でリモートから任意のコマンドを実行できる可能性がある。

連邦政府機関および州政府機関には、2024年8月28日までに、このリスクに対処する利用可能なセキュリティ更新プログラムおよび緩和策を適用するか、同製品の使用を停止することが求められている。

昨日KEVに追加され、CISAが同じ期限を設定した2番目の欠陥は、CVE-2024-36971で、Googleが今週初めに修正したAndroidカーネルのゼロデイである。

OFBizの欠陥の詳細

Apache OFBiz CVE-2024-32113の欠陥は、2024年5月8日に対処された。今月末までに、セキュリティ研究者は、この欠陥がマルウェアの展開や他のネットワーク・セグメントへのピボットにどのように利用されるかを示す、完全な悪用の詳細を公表しました。

この欠陥は、不十分な入力検証とユーザーから提供されたデータの不適切な処理の組み合わせ、特にURLのサニタイズの失敗によって引き起こされ、./や ;のようなディレクトリ・トラバーサル・シーケンスがセキュリティ・フィルターをバイパスすることを可能にしている。

これに加えて、ユーザーが提供したGroovyスクリプトの実行には不適切なブロックリストがあり、危険なコマンドをブロックできず、悪意のある行為者に任意のコード実行を許してしまう。

セキュリティ研究者 “Unam4 “が自身のブログでこの欠陥を悪用するための詳細を公開した直後、他の研究者がその情報を活用して実用的なエクスプロイトを開発し、GitHubにアップロードした

Apache OFBizの欠陥のデモ

新しい事前認証RCE

CISAがCVE-2024-32113のアクティブなエクスプロイトについて警告しているように、Apache OFBizのより新しいバージョンに影響を与える、より新しい欠陥が今週初めに発見された。

CVE-2024-38856として追跡されているこの欠陥は、Apache OFBizの18.12.14までのバージョンに影響を与える、認証前のリモートコード実行の問題で、クリティカル(CVSSスコア:9.8)です。

SonicWallは月曜日、CVE-2024-38856に関する広範な技術的詳細を発表し、いくつかの概念実証の悪用がGitHubで公開されています。

したがって、脅威行為者による積極的な悪用はいつでも開始される可能性が高い。

この問題は、OFBizのバージョン18.12.15のリリースで修正された。