L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a annoncé mardi ajouté une faille de sécurité critique affectant le système de planification des ressources d’entreprise (ERP) open source Apache OFBiz à ses vulnérabilités exploitées connues (KEV) catalogue, citant des preuves d’exploitation active dans la nature.
La vulnérabilité, connue sous le nom de CVE-2024-38856, porte un score CVSS de 9,8, indiquant une gravité critique.
« Apache OFBiz contient une vulnérabilité d’autorisation incorrecte qui pourrait permettre l’exécution de code à distance via une charge utile Groovy dans le contexte du processus utilisateur OFBiz par un attaquant non authentifié », a déclaré la CISA.
Les détails de la vulnérabilité ont été révélés pour la première fois au début du mois après que SonicWall l’a décrite comme un contournement de correctif pour une autre faille, CVE-2024-36104, qui permet l’exécution de code à distance via des requêtes spécialement conçues.
« Une faille dans la fonctionnalité de vue de remplacement expose des points de terminaison critiques à des acteurs malveillants non authentifiés utilisant une requête élaborée, ouvrant la voie à l’exécution de code à distance », a déclaré Hasib Vhora, chercheur chez SonicWall.
Ce développement intervient près de trois semaines après que la CISA a placé une troisième faille affectant Apache OFBiz (CVE-2024-32113) dans le catalogue KEV, suite à des rapports selon lesquels il avait été utilisé de manière abusive pour déployer le botnet Mirai.
Bien qu’il n’existe actuellement aucun rapport public sur la manière dont CVE-2024-38856 est utilisé comme arme dans la nature, des exploits de preuve de concept (PoC) ont été réalisés accessible au public.
L’exploitation active de deux failles d’Apache OFBiz indique que les attaquants manifestent un intérêt considérable et une tendance à se jeter sur les vulnérabilités divulguées publiquement pour pénétrer de manière opportuniste dans les instances sensibles à des fins néfastes.
Il est recommandé aux organisations de mettre à jour vers la version 18.12.15 pour atténuer la menace. Les agences du Federal Civilian Executive Branch (FCEB) ont été mandatées pour appliquer les mises à jour nécessaires d’ici le 17 septembre 2024.