La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. advierte sobre dos vulnerabilidades explotadas en ataques, incluido el recorrido de ruta que afecta a Apache OFBiz.
Apache OFBiz (Open For Business) es un popular sistema de planificación de recursos empresariales (ERP) de código abierto que proporciona un conjunto de aplicaciones comerciales para gestionar diversos aspectos de una organización. Debido a su versatilidad y rentabilidad, se utiliza en una amplia gama de industrias y tamaños de empresas.
La laguna jurídica añadida a CISA Catálogo de vulnerabilidades conocidas y explotadas (KEV) es CVE-2024-32113una vulnerabilidad de recorrido de ruta que afecta las versiones de OFBiz antes del 18.12.13Si se explota, podría permitir a los atacantes ejecutar de forma remota comandos arbitrarios en servidores vulnerables.
Las agencias federales y organizaciones estatales tienen hasta el 28 de agosto de 2024 para aplicar las actualizaciones de seguridad y las medidas de mitigación disponibles que aborden el riesgo o interrumpan el uso del producto.
La segunda falla agregada ayer a KEV, y para la cual CISA fijó la misma fecha límite, es CVE-2024-36971, una falla de día cero en el kernel de Android parcheada por Google a principios de esta semana.
Detalles de la vulnerabilidad OFBiz
La falla Apache OFBiz CVE-2024-32113 se corrigió el 8 de mayo de 2024. A finales de mes, los investigadores de seguridad publicaron detalles completos de explotación que demuestran cómo la falla podría usarse para la implementación de malware y pivotar hacia otros segmentos de la red.
La falla es causada por una combinación de validación de entrada insuficiente y manejo inadecuado de los datos proporcionados por el usuario, específicamente la falla en la desinfección de URL, que permite secuencias transversales de directorio como ../ Y ; para eludir los filtros de seguridad.
Además, la ejecución de scripts Groovy proporcionados por el usuario está sujeta a una lista de bloqueo inadecuada, lo que no bloquea comandos peligrosos y permite que actores malintencionados ejecuten código arbitrario.
A poco de la publicación del investigador de seguridad “Unam4” detalles sobre la explotación de la falla en su blog, otros aprovecharon la información para desarrollar exploits funcionales, que luego subido a GitHub.
Nuevo RCE preautorizado
Si bien CISA advierte contra la explotación activa de CVE-2024-32113, a principios de esta semana se descubrió una nueva falla que afecta a las versiones más recientes de Apache OFBiz.
Registrada como CVE-2024-38856, la falla es un problema crítico (puntaje CVSS: 9.8) de ejecución remota de código previo a la autenticación que afecta las versiones de Apache OFBiz. hasta el 18.12.14.
Muro sónico detalles técnicos detallados publicados sobre CVE-2024-38856 el lunes, mientras que varios exploits de prueba de concepto estuvieron disponibles en GitHub.
Por lo tanto, es probable que la explotación activa por parte de actores maliciosos comience en cualquier momento.
Este problema se resolvió con el lanzamiento de la versión 18.12.15 de OFBiz, que debería ser el objetivo de actualización para todos los usuarios del software.