CVE-2024-38856: критический 0day в Apache OFBiz ведёт к удалённому выполнению кода
Проблема затрагивает все версии программы до 18.12.15. Тянуть с обновлением явно не стоит.
В Apache OFBiz обнаружена новая уязвимость, позволяющая злоумышленникам удалённо выполнять код на уязвимых экземплярах программы. Проблема, известная как CVE-2024-38856, получила оценку 9.8 по шкале CVSS, что свидетельствует о её критической опасности. Уязвимыми являются экземпляры Apache OFBiz, выпущенные до версии 18.12.15.
Компания SonicWall, выявившая уязвимость и сообщившая о ней, отметила, что причина проблемы кроется в механизме аутентификации. Эта ошибка позволяет неавторизованным пользователям получить доступ к функциям, которые обычно требуют входа в систему, открывая путь для удалённого выполнения кода.
CVE-2024-38856 также является обходом патча для уязвимости CVE-2024-36104, которая была устранена в июне 2024 года с выпуском версии 18.12.14. По словам представителей SonicWall, проблема заключается в функции Override View, которая открывает критические конечные точки для неавторизованных пользователей, позволяя им выполнять удалённый код через специально сформированные запросы.
Исследователь безопасности Хасиб Вора отметил, что доступ к конечной точке ProgramExport предоставлялся без аутентификации, что позволяло злоумышленникам воспользоваться любой другой конечной точкой, не требующей авторизации, через функцию Override View. К счастью, уязвимость была исправлена в версии OFBiz 18.12.15 при помощи этого коммита на GitHub.
Хотя ни представители Apache, ни исследователи из SonicWall не указали чёткой информации об эксплуатации уязвимости до обнаружения, они всё же пометили её как zero-day брешь. Это значит, что обновиться до безопасной версии нужно как можно скорее, так как у хакеров уже есть полное представление о том, как использовать уязвимость в реальных атаках.
Эти события происходят на фоне другой критической уязвимости в OFBiz, CVE-2024-32113, которая уже активно эксплуатируется для развёртывания ботнета Mirai. Патч для этой уязвимости был выпущен в мае 2024 года, однако администраторы не спешат с развёртыванием обновлений, делая свою инфраструктуру уязвимой.
В декабре 2023 года SonicWall также сообщила о другой уязвимости нулевого дня в том же программном обеспечении ( CVE-2023-51467 ), которая позволяла обходить защиту аутентификации. Эта уязвимость также подверглась многочисленным попыткам эксплуатации со стороны злоумышленников.