La Agencia de Seguridad Cibernética y de Infraestructura de Estados Unidos (CISA) informó el martes agregado una falla de seguridad crítica que afecta al sistema de planificación de recursos empresariales (ERP) de código abierto Apache OFBiz a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa en la naturaleza.
La vulnerabilidad, conocida como CVE-2024-38856, tiene una puntuación CVSS de 9,8, lo que indica una gravedad crítica.
«Apache OFBiz contiene una vulnerabilidad de autorización incorrecta que podría permitir la ejecución remota de código a través de una carga útil de Groovy en el contexto del proceso de usuario OFBiz por parte de un atacante no autenticado», dijo CISA.
Los detalles de la vulnerabilidad salieron a la luz por primera vez a principios de este mes después de que SonicWall la describiera como una omisión de parche para otra falla, CVE-2024-36104, que permite la ejecución remota de código A través de solicitudes especialmente elaboradas.
«Una falla en la funcionalidad de vista de anulación expone puntos finales críticos a actores de amenazas no autenticados que utilizan una solicitud diseñada, allanando el camino para la ejecución remota de código», dijo el investigador de SonicWall, Hasib Vhora.
El desarrollo se produjo casi tres semanas después de que CISA colocara una tercera falla que afectaba a Apache OFBiz (CVE-2024-32113) en el catálogo KEV, luego de informes de que había sido abusado para implementar la botnet Mirai.
Si bien actualmente no hay informes públicos sobre cómo se está utilizando CVE-2024-38856 como arma, se han realizado exploits de prueba de concepto (PoC) disponible públicamente.
La explotación activa de dos fallas de Apache OFBiz es una indicación de que los atacantes están mostrando un interés significativo y una tendencia a aprovechar las fallas reveladas públicamente para violar oportunistamente instancias susceptibles con fines nefastos.
Se recomienda a las organizaciones que actualicen a la versión 18.12.15 para mitigar la amenaza. Se ha ordenado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las actualizaciones necesarias antes del 17 de septiembre de 2024.