A Apache resolveu uma vulnerabilidade crítica de segurança no seu software de código aberto OFBiz (Open For Business), que poderia permitir que atacantes executassem código arbitrário em servidores Linux e Windows vulneráveis.
O OFBiz é um conjunto de aplicações de negócios de gestão de relacionamento com o cliente (CRM) e planejamento de recursos empresariais (ERP) que também pode ser usado como uma framework web baseada em Java para desenvolver aplicações web.
Identificada como
CVE-2024-45195
e descoberta pelos pesquisadores de segurança da Rapid7, essa falha de execução remota de código é causada por uma vulnerabilidade de navegação forçada que expõe caminhos restritos a ataques diretos de requisição não autenticada.
"Um atacante sem credenciais válidas pode explorar falhas de verificação de autorização de visualização na aplicação web para executar código arbitrário no servidor," explicou o pesquisador de segurança Ryan Emmons na quinta-feira em um relatório contendo código de exploração de conceito.
A equipe de segurança da Apache corrigiu a vulnerabilidade na versão 18.12.16 adicionando verificações de autorização.
Os usuários do OFBiz são aconselhados a atualizar suas instalações o mais rápido possível para bloquear ataques potenciais.
Como Emmons explicou hoje, o
CVE-2024-45195
é uma burla de correção para outras três vulnerabilidades do OFBiz que foram corrigidas desde o início do ano e são identificadas como
CVE-2024-32113
,
CVE-2024-36104
e
CVE-2024-38856
.
"Baseado em nossa análise, três dessas vulnerabilidades são, essencialmente, a mesma vulnerabilidade com a mesma causa raiz," acrescentou Emmons.
Todas elas são causadas por uma questão de fragmentação do mapa controlador-visualização que permite a atacantes executar códigos ou consultas SQL e alcançar execução remota de código sem autenticação.
No início de agosto, a CISA alertou que a vulnerabilidade OFBiz
CVE-2024-32113
(corrigida em maio) estava sendo explorada em ataques, dias depois de pesquisadores da SonicWall publicarem detalhes técnicos sobre a falha de execução remota de código sem autenticação
CVE-2024-38856
.
A CISA também adicionou esses dois bugs de segurança ao seu catálogo de vulnerabilidades ativamente exploradas, exigindo que agências federais corrijam seus servidores dentro de três semanas, conforme determinado pela diretiva operacional vinculativa (BOD 22-01) emitida em novembro de 2021.
Embora o BOD 22-01 se aplique apenas às agências do Ramo Executivo Civil Federal (FCEB), a CISA instou todas as organizações a priorizarem a correção dessas falhas para evitar ataques que possam visar suas redes.
Em dezembro, atacantes começaram a explorar outra vulnerabilidade de execução remota de código sem autenticação no OFBiz (
CVE-2023-49070
) usando explorações de conceito público (PoC) para encontrar servidores Confluence vulneráveis.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...