CISA’nın kritik bir güvenlik açığı eklendi Apache OFBiz açık kaynaklı kurumsal kaynak planlama (ERP) sisteminde Bilinen Açıklardan Yararlanılan Güvenlik Açıkları (KEV) kataloğuna.
Apache OFBiz, endüstrilerin müşteri ilişkileri, insan kaynakları işlevleri, sipariş işleme ve depo yönetimi gibi operasyonlarını yönetmelerine yardımcı olan bir sistemdir. Yaklaşık 170 şirket Apache OFBiz’i kullanıyor ve bunların %41’i ABD’de. Platform web sitesine göre bunlar arasında United Airlines, Home Depot ve HP Development gibi önemli isimler de yer alıyor.
Takip edildi CVE-2024-38856hatanın CVSS güvenlik açığı ciddiyet ölçeğinde 10 üzerinden 9,8 puan alması, ön kimlik doğrulamalı uzaktan kod yürütmeye (RCE) izin vermesi nedeniyledir. CISA’nın bu hamlesi, kusurun Ağustos ayı başında ifşa edilmesinin ardından kavram kanıtı (PoC) istismarlarının kamuoyuna açıklanmasının ardından geldi.
Tehditlere karşı önlem almak için kuruluşların 18.12.15 sürümüne güncelleme yapması gerekiyor. Federal Sivil Yürütme Birimi (FCEB) kurumlarına bunu yapmaları için 17 Eylül’e kadar süre verildi.
“SonicWall perspektifinden size söyleyebileceğim şey [is that] SonicWall’da tehdit araştırmaları yönetici direktörü olan Douglas McKee, Dark Reading’e “Oldukça yaygın istismar girişimleri gördük” diyor. “Ve ‘girişimler’ kelimesini kullanıyorum çünkü bunların başarılı olup olmadığını kesin olarak bilmiyoruz. Müşteri tabanımızın yaklaşık %16’sı bu şekilde istismar edilmeye çalışılıyor.”
Bir Zaaf Başka Bir Zaafiyetin Doğuşuna Yol Açar
CVE-2024-38856 ilk olarak bu ayın başlarında SonicWall araştırmacıları tarafından, platformdaki farklı bir RCE açığı olan CVE-2024-36104’ü analiz ederken keşfedildi.
CVE-2024-36104, kullanıcı isteklerinin yetersiz bir şekilde doğrulanması nedeniyle uzak saldırganların sistem dizinlerine erişmesine izin verir. Bu, özellikle şu nedenlerden dolayı gerçekleşir: KontrolServlet’i Ve İstek İşleyicisi aynı isteği aldıktan sonra işlemek için farklı uç noktaları alan işlevler. Doğru şekilde çalışıyorsa, her ikisi de işlemek için aynı uç noktayı almalıdır.
Araştırmacılar, CVE-2024-36104 için bir yamayı test ederken, ProgramExport uç noktası yoluyla kimliği doğrulanmamış erişime izin veren ve potansiyel olarak keyfi kod yürütülmesine olanak sağlayabilecek ve kısıtlanması gereken bir sonraki kusur olan CVE-2024-38856’yı keşfettiler.
McKee, sonuç olarak keşiflerin, Apache OFBiz’in semptomlarını tedavi etmeye çalıştığı ancak asıl nedenini çözmeye çalışmadığı birden fazla farklı güvenlik açığını içeren bir zincir olduğunu belirtiyor.
“Araştırmacımız Apache Office için çıkan farklı yamaları inceledi [and] kod tabanına çok aşina oldum ve sonuç olarak, [were] McKee, “Bir tür saldırgan zihniyetinde” diyor. “‘Kırmızı düşün, mavi davran’ demeyi seviyorum, değil mi? Bu, bir saldırgan gibi düşünme ama savunma tarafı için bir şeyler yapma kavramıdır. Bu nedenle, SonicWall’un araştırmacıları saldırgan zihniyetinde, bir güvenlik açığını kapatmak için uygulanan düzeltmelere baktılar ve bunları aşmaya çalıştılar, bu da başka bir güvenlik açığının keşfedilmesine yol açtı.
Sömürüden Kaçınma
SonicWall araştırmacıları, bir blog yazısında CVE-2024-38856’yı istismar etmek için bir saldırı zinciri sundular; bu zincirde bir saldırganın uygulama içindeki program dışa aktarma işlevine erişmek için Apache OFBiz’e göndereceği aşağıdaki istek ve saldırganların bu işleve ulaşmak için ilettiği parametre yer alıyor:
“POST /webtools/control/forgotPassword/ProgramExport HTTP/1.1
groovyProgram=yeni bir İstisna fırlat (‘whoami’ .execute () .text) ;”
CVE-2024-36104’ü istismar etmek için kullanılabilecek diğer URL’ler şunlardır:
-
POST /webtools/control/forgotPassword/ProgramDışa Aktarma
-
POST /webtools/control/showDateTime/ProgramDışaAktar
-
POST /webtools/control/TestService/ProgramDışaAktar
-
POST /webtools/control/view/ProgramDışa Aktarma
-
POST /webtools/control/main/ProgramDışa Aktarma
Bu güvenlik açığı 18.12.14’e kadar Apache OFBiz’in tüm sürümlerini etkiliyor ve geçici yamalar bulunmuyor; kullanıcılar ve kuruluşlar, açığın olası suistimalini önlemek için en son sürüme yükseltme yapmalıdır.
Güncellemenin derhal yapılmaması, “tehdit aktörlerinin oturum açma parametrelerini manipüle etmesine ve hedef sunucuda keyfi kod yürütmesine olanak tanıyabilir” Zscaler’daki araştırmacılara göre Bu ayın başlarında hatayı analiz eden kişi de, özellikle saldırganların kamuya açık PoC istismarlarından giderek daha fazla yararlanmaya başlamasıyla birlikte, bu hatayı daha da kötüleştirdi.