A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA está alertando sobre duas vulnerabilidades que foram exploradas em ataques, incluindo uma de path que afeta o Apache OFBiz.
O Apache OFBiz (Open For Business) é um sistema open-source de planejamento de recursos empresariais (ERP) bastante popular, que oferece um conjunto de aplicações de negócios para gerenciar diversos aspectos de uma organização.
Devido à sua versatilidade e custo-benefício, é utilizado em uma ampla gama de indústrias e tamanhos de negócios.
A falha adicionada ao Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA é a
CVE-2024-32113
, uma vulnerabilidade de path que impacta versões do OFBiz anteriores a 18.12.13.
Se explorada, poderia permitir que atacantes executassem comandos arbitrários remotamente em servidores vulneráveis.
Agências federais e organizações estaduais têm até o dia 28 de agosto de 2024 para aplicar as atualizações de segurança disponíveis e as mitigações que endereçam o risco ou interromper o uso do produto.
A segunda falha adicionada ao KEV ontem, e para a qual a CISA estabeleceu o mesmo prazo, é a
CVE-2024-36971
, uma zero-day no kernel do Android que o Google corrigiu no início desta semana.
A falha do Apache OFBiz
CVE-2024-32113
foi corrigida em 8 de maio de 2024.
Até o final do mês, pesquisadores de segurança publicaram detalhes completos da exploração demonstrando como a falha poderia ser usada para o deployment de malware e para pivotar para outros segmentos de rede.
A falha é causada por uma combinação de validação de entrada insuficiente e manuseio impróprio de dados fornecidos pelo usuário, especificamente a falha em sanear URLs, o que permite que sequências de diretório como ../ e ; ultrapassem os filtros de segurança.
Além disso, a execução de scripts Groovy fornecidos pelo usuário tem uma lista de bloqueio inadequada, falhando em bloquear comandos perigosos e permitindo que atores maliciosos executem execução de código arbitrário.
Logo após o pesquisador de segurança "Unam4" publicar detalhes sobre a exploração da falha em seu blog, outros usaram as informações para desenvolver exploits funcionais, que foram carregados no GitHub.
Enquanto a CISA alerta sobre a exploração ativa da
CVE-2024-32113
, uma falha mais recente que afeta versões mais novas do Apache OFBiz foi descoberta no início desta semana.
Rastreada como
CVE-2024-38856
, a falha é um problema crítico (pontuação CVSS: 9.8) de execução de código remoto pré-autenticação que impacta versões do Apache OFBiz até 18.12.14.
A SonicWall publicou detalhes técnicos extensivos sobre a
CVE-2024-38856
na segunda-feira, enquanto vários exploits de prova de conceito foram disponibilizados no GitHub.
Portanto, é provável que a exploração ativa por atores de ameaças comece a qualquer momento.
Este problema foi corrigido com o lançamento da versão 18.12.15 do OFBiz, que deve ser o alvo de atualização para todos os usuários do software.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...