La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) anunció el martes agregado una vulnerabilidad de seguridad crítica que afecta al sistema de planificación de recursos empresariales (ERP) Apache OFBiz de código abierto con sus vulnerabilidades explotadas conocidas (K.E.V.) catálogo, citando evidencia de explotación activa en la naturaleza.
La vulnerabilidad, conocida como CVE-2024-38856, tiene una puntuación CVSS de 9,8, lo que indica una gravedad crítica.
“Apache OFBiz contiene una vulnerabilidad de autorización inadecuada que podría permitir la ejecución remota de código a través de una carga útil de Groovy en el contexto del proceso de usuario de OFBiz por parte de un atacante no autenticado”, dijo CISA.
Los detalles de la vulnerabilidad se revelaron por primera vez a principios de este mes después de que SonicWall la describiera como un parche para evitar otra falla, CVE-2024-36104, que permite la ejecución remota de código a través de consultas especialmente diseñadas.
“Una falla en la función Vista alternativa expone puntos finales críticos a actores de amenazas no autenticados que utilizan una consulta diseñada, allanando el camino para la ejecución remota de código”, dijo Hasib Vhora, investigador de SonicWall.
Este desarrollo se produce casi tres semanas después de que CISA colocara una tercera vulnerabilidad que afectaba a Apache OFBiz (CVE-2024-32113) en el catálogo de KEV, luego de informes de que se había abusado de ella para implementar la botnet Mirai.
Si bien actualmente no hay informes públicos sobre cómo se está utilizando CVE-2024-38856 como arma en la naturaleza, se han realizado exploits de prueba de concepto (PoC). al alcance de todos.
La explotación activa de dos vulnerabilidades de Apache OFBiz indica que los atacantes están mostrando un interés considerable y una tendencia a atacar las vulnerabilidades divulgadas públicamente para irrumpir de manera oportunista en instancias sensibles con fines nefastos.
Se recomienda a las organizaciones que actualicen a la versión 18.12.15 para mitigar la amenaza. Las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen el mandato de implementar las actualizaciones necesarias antes del 17 de septiembre de 2024.