Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Критический 0day в Apache OFBiz позволяет удалённое выполнение кода

07/08/24

Download (79)

В Apache OFBiz обнаружена новая уязвимость, позволяющая злоумышленникам удалённо выполнять код на уязвимых экземплярах программы. Проблема, известная как CVE-2024-38856, получила оценку 9.8 по шкале CVSS, что свидетельствует о её критической опасности. Уязвимыми являются экземпляры Apache OFBiz, выпущенные до версии 18.12.15.

Компания SonicWall, выявившая уязвимость и сообщившая о ней, отметила, что причина проблемы кроется в механизме аутентификации. Эта ошибка позволяет неавторизованным пользователям получить доступ к функциям, которые обычно требуют входа в систему, открывая путь для удалённого выполнения кода, согласно Securitylab.

CVE-2024-38856 также является обходом патча для уязвимости CVE-2024-36104, которая была устранена в июне 2024 года с выпуском версии 18.12.14. По словам представителей SonicWall, проблема заключается в функции Override View, которая открывает критические конечные точки для неавторизованных пользователей, позволяя им выполнять удалённый код через специально сформированные запросы.

Исследователь безопасности Хасиб Вора отметил, что доступ к конечной точке ProgramExport предоставлялся без аутентификации, что позволяло злоумышленникам воспользоваться любой другой конечной точкой, не требующей авторизации, через функцию Override View. К счастью, уязвимость была исправлена в версии OFBiz 18.12.15 при помощи этого коммита на GitHub.

Хотя ни представители Apache, ни исследователи из SonicWall не указали чёткой информации об эксплуатации уязвимости до обнаружения, они всё же пометили её как zero-day брешь. Это значит, что обновиться до безопасной версии нужно как можно скорее, так как у хакеров уже есть полное представление о том, как использовать уязвимость в реальных атаках.

Эти события происходят на фоне другой критической уязвимости в OFBiz, CVE-2024-32113, которая уже активно эксплуатируется для развёртывания ботнета Mirai. Патч для этой уязвимости был выпущен в мае 2024 года, однако администраторы не спешат с развёртыванием обновлений, делая свою инфраструктуру уязвимой.

В декабре 2023 года SonicWall также сообщила о другой уязвимости нулевого дня в том же программном обеспечении (CVE-2023-51467), которая позволяла обходить защиту аутентификации. Эта уязвимость также подверглась многочисленным попыткам эксплуатации со стороны злоумышленников.

Темы:УгрозыApache0Day-уязвимостиSonicWall
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...