A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) adicionou na terça-feira um grave defeito de segurança que afeta o sistema de planejamento de recursos empresariais (ERP) de código aberto Apache OFBiz ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), citando evidências de exploração ativa "in the wild".
A vulnerabilidade, conhecida como
CVE-2024-38856
, possui um score CVSS de 9.8, indicando gravidade crítica.
"O Apache OFBiz contém uma vulnerabilidade de autorização incorreta que poderia permitir execução remota de código via um payload Groovy no contexto do processo do usuário OFBiz por um atacante não autenticado," disse a CISA.
Detalhes da vulnerabilidade vieram à tona no início deste mês após a SonicWall descrevê-la como um bypass de patch para outra falha,
CVE-2024-36104
, que permite a execução remota de código via requisições especialmente criadas.
"Uma falha na funcionalidade de sobreposição de visualização expõe pontos de extremidade críticos a atores de ameaças não autenticados usando uma requisição elaborada, abrindo caminho para execução remota de código," disse o pesquisador da SonicWall, Hasib Vhora.
O desenvolvimento vem quase três semanas depois da CISA colocar uma terceira falha impactando o Apache OFBiz (
CVE-2024-32113
) no catálogo KEV, seguindo relatórios de que havia sido abusada para implantar o botnet Mirai.
Embora atualmente não haja relatórios públicos sobre como a
CVE-2024-38856
está sendo armada "in the wild", exploits de prova de conceito (PoC) foram disponibilizados publicamente.
A exploração ativa de duas falhas do Apache OFBiz é uma indicação de que os atacantes estão mostrando um interesse significativo e tendência a agir sobre vulnerabilidades divulgadas publicamente para brechar oportunisticamente instâncias suscetíveis para fins nefastos.
Organizações são recomendadas a atualizar para a versão 18.12.15 para mitigar contra a ameaça.
Agências do Ramo Executivo Civil Federal (FCEB) foram obrigadas a aplicar as atualizações necessárias até 17 de setembro de 2024.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...