A Apache resolveu uma falha crítica de segurança em seu software OFBiz (Open For Business) de código aberto, que anteriormente permitia que invasores executassem código arbitrário em servidores Linux e Windows vulneráveis.
O OFBiz é um conjunto de aplicativos de negócios para gerenciamento de relacionamento com o cliente (CRM) e planejamento de recursos empresariais (ERP) que também serve como uma estrutura de desenvolvimento web baseada em Java.
Identificada como <a href=”https://nvd.nist.gov/vuln/detail/CVE-2024-45195″>CVE-2024-45195</a> pelos pesquisadores de segurança da Rapid7, essa vulnerabilidade de execução remota de código surge de um problema de navegação forçada que expõe caminhos restritos a acesso não autenticado.
“Atacantes sem credenciais válidas podem explorar verificações de autorização de visualização ausentes no aplicativo da web para executar código arbitrário no servidor”, explicou o pesquisador de segurança Ryan Emmons <a href=”https://www.rapid7.com/blog/post/2024/09/05/cve-2024-45195-apache-ofbiz-unauthenticated-remote-code-execution-fixed/”>em um relatório compartilhado na quinta-feira, que incluía código de exploração de prova de conceito.
A equipe de segurança do Apache abordou a vulnerabilidade na versão 18.12.16 implementando verificações de autorização. Os usuários do OFBiz são incentivados a atualizar seus sistemas imediatamente para evitar possíveis ataques.
<h2>Bypass para patches de segurança anteriores</h2>
Emmons explicou ainda que CVE-2024-45195 é um bypass de patch para três outras vulnerabilidades do OFBiz, corrigidas no início deste ano e rastreadas como <a href=”https://attackerkb.com/topics/3gj7c1dPY3/cve-2024-32113″>CVE-2024-32113</a>, <a href=”https://attackerkb.com/topics/IcT6K60n1c/cve-2024-36104″>CVE-2024-36104</a> e <a href=”https://attackerkb.com/topics/W8Bc2zU52s/cve-2024-38856″>CVE-2024-38856</a>.
“Da nossa análise, essas três vulnerabilidades compartilham a mesma causa raiz e são, essencialmente, o mesmo problema”, acrescentou Emmons.
Essas vulnerabilidades decorrem de uma falha de fragmentação do mapa de visualização do controlador, permitindo que invasores executem código ou consultas SQL e obtenham execução remota de código sem autenticação.
No início de agosto, a CISA emitiu um aviso sobre a vulnerabilidade CVE-2024-32113 OFBiz (corrigida em maio), observando que ela estava sendo ativamente explorada em ataques. Isso ocorreu logo após os pesquisadores da SonicWall divulgarem <a href=”http://blog.sonicwall.com/en-us/2024/08/sonicwall-discovers-second-critical-apache-ofbiz-zero-day-vulnerability/”>detalhes técnicos</a> sobre a vulnerabilidade RCE de pré-autenticação CVE-2024-38856.
A CISA também adicionou ambos os <a href=”https://www.cisa.gov/news-events/alerts/2024/08/07/cisa-adds-two-known-exploited-vulnerabilities-catalog”>problemas de segurança</a> ao seu catálogo de vulnerabilidades exploradas ativamente, exigindo que as agências federais corrijam seus sistemas em três semanas, de acordo com a diretiva operacional vinculativa (BOD 22-01) emitida em novembro de 2021.
Embora o BOD 22-01 se aplique apenas às agências do Poder Executivo Civil Federal (FCEB), a CISA pediu que todas as organizações priorizassem a correção dessas falhas para proteger suas redes de ataques potenciais.
Em dezembro, os invasores começaram a explorar outra vulnerabilidade de execução remota de código de pré-autenticação do OFBiz (CVE-2023-49070), aproveitando explorações públicas de prova de conceito para identificar servidores Confluence vulneráveis.
<hr />
<strong>Fonte: <a href=”https://www.bleepingcomputer.com/”>BleepingComputer</a>, <a class=”author” href=”https://www.bleepingcomputer.com/author/sergiu-gatlan/” rel=”author”><span itemprop=”author” itemscope=”” itemtype=”https://schema.org/Person”><span itemprop=”name”>Sergiu Gatlan</span></span></a></strong>