CISA 将 Apache OFBiz 严重漏洞添加至已知已利用漏洞目录

CISA 已将 Apache OFBiz 开源企业资源规划 (ERP) 系统中的一个严重安全漏洞添加到其已知已利用漏洞 (KEV) 目录中。

Apache OFBiz 是一个帮助行业管理其运营的系统,例如客户关系、人力资源职能、订单处理和仓库管理。大约 170 家公司使用 Apache OFBiz,其中 41% 在美国。据该平台网站称,其中包括联合航空公司、家得宝和 HP Development 等大佬。

该漏洞被跟踪为 CVE-2024-38856,在 CVSS 漏洞严重性量表上得分为 9.8 分(满分 10 分),因为它允许身份验证前远程代码执行 (RCE)。CISA 的举措是在 8 月初漏洞披露后向公众提供概念验证 (PoC) 漏洞之后采取的。

组织应更新到版本 18.12.15 以缓解威胁。联邦民事行政部门 (FCEB) 机构已获得 9 月 17 日的截止日期。

一个漏洞导致另一个漏洞

CVE-2024-38856 最初是由 SonicWall 的研究人员于本月早些时候发现的,当时他们正在分析平台中的另一个 RCE 漏洞 CVE-2024-36104。

CVE-2024-36104 允许远程攻击者访问系统目录,因为对用户请求的验证不充分。特别是由于 ControlServlet 和 RequestHandler 函数在收到相同的请求后接收不同的要处理的端点。如果运行正常,则两者都应获得相同的端点进行处理。

在测试 CVE-2024-36104 补丁时,研究人员发现了下一个漏洞 CVE-2024-38856,该漏洞允许通过 ProgramExport 端点进行未经身份验证的访问,这可能会启用任意代码执行,应予以限制。

避免漏洞利用

在一篇博文中,SonicWall 研究人员提供了一个攻击链示例,其中威胁行为者可以使用以下输入来利用 CVE-2024-38856,然后获得后续输出:

“POST /webtools/control/forgotPassword/ProgramExport HTTP/1.1

groovyProgram=throw new 异常 (’whoami’ .execute () .text) ;”

其他可用于利用 CVE-2024-36104 的 URL 包括:

  • POST /webtools/control/forgotPassword/ProgramExport

  • 发布 /webtools/control/showDateTime/ProgramExport

  • POST /webtools/control/TestService/ProgramExport

  • 发布 /webtools/control/view/ProgramExport

  • 发布 /webtools/control/main/ProgramExport

此漏洞会影响 Apache OFBiz 18.12.14 之前的所有版本,并且没有可用的临时补丁;用户和组织必须升级到最新版本,以防止漏洞被潜在利用。

Zscaler 的研究人员本月早些时候还分析了该漏洞,他表示,未能及时升级可能会“使威胁行为者能够操纵登录参数并在目标服务器上执行任意代码” ,尤其是在攻击者越来越多地利用公开披露的 PoC 漏洞利用漏洞的情况下。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐