Badan Keamanan Siber dan Infrastruktur AS memperingatkan adanya dua kerentanan yang dieksploitasi dalam serangan, termasuk lintasan jalur yang memengaruhi Apache OFBiz.
Apache OFBiz (Open For Business) adalah sistem perencanaan sumber daya perusahaan (ERP) sumber terbuka populer yang menyediakan serangkaian aplikasi bisnis untuk mengelola berbagai aspek organisasi. Berkat fleksibilitas dan efektivitas biayanya, sistem ini digunakan dalam berbagai industri dan skala bisnis.
Kelemahan yang ditambahkan pada CISA Katalog Kerentanan yang Diketahui Telah Dieksploitasi (KEV) adalah CVE-2024-32113kerentanan lintasan lintasan yang memengaruhi versi OFBiz sebelum 18.12.13Jika dieksploitasi, hal ini dapat memungkinkan penyerang untuk menjalankan perintah sembarangan dari jarak jauh pada server yang rentan.
Badan federal dan organisasi negara diberi waktu hingga 28 Agustus 2024 untuk menerapkan pembaruan dan mitigasi keamanan yang tersedia yang mengatasi risiko atau berhenti menggunakan produk tersebut.
Kelemahan kedua yang ditambahkan ke KEV kemarin, dan CISA menetapkan batas waktu yang sama, adalah CVE-2024-36971, kernel Android zero-day Google memperbaikinya awal minggu ini.
Rincian Cacat OFBiz
Kerentanan Apache OFBiz CVE-2024-32113 telah diatasi pada tanggal 8 Mei 2024. Pada akhir bulan, peneliti keamanan menerbitkan detail eksploitasi lengkap yang menunjukkan bagaimana kelemahan tersebut dapat digunakan untuk penyebaran malware dan pengalihan ke segmen jaringan lain.
Kelemahan ini disebabkan oleh kombinasi validasi input yang tidak memadai dan penanganan data yang diberikan pengguna yang tidak tepat, khususnya kegagalan dalam membersihkan URL, yang memungkinkan urutan traversal direktori seperti ../ Dan Bahasa Indonesia: untuk melewati filter keamanan.
Selain itu, eksekusi skrip Groovy yang disediakan pengguna memiliki daftar blokir yang tidak memadai, gagal memblokir perintah berbahaya dan memungkinkan pelaku jahat melakukan eksekusi kode sembarangan.
Segera setelah peneliti keamanan “Unam4” menerbitkan rincian tentang mengeksploitasi kelemahan tersebut di blognya, orang lain memanfaatkan informasi tersebut untuk mengembangkan eksploitasi yang berfungsi, yang mereka diunggah ke GitHub.
RCE pra-otorisasi baru
Saat CISA memperingatkan tentang eksploitasi aktif untuk CVE-2024-32113, kelemahan baru yang memengaruhi versi Apache OFBiz terkini terungkap awal minggu ini.
Dilacak sebagai CVE-2024-38856, kelemahan tersebut merupakan masalah eksekusi kode jarak jauh pra-autentikasi yang kritis (skor CVSS: 9.8) yang memengaruhi versi Apache OFBiz sampai 18.12.14.
Dinding Sonik menerbitkan rincian teknis yang luas tentang CVE-2024-38856 pada hari Senin, sementara beberapa eksploitasi bukti konsep telah tersedia di GitHub.
Oleh karena itu, eksploitasi aktif oleh aktor ancaman kemungkinan akan dimulai kapan saja.
Masalah ini telah diperbaiki dengan dirilisnya OFBiz versi 18.12.15, yang seharusnya menjadi target pemutakhiran untuk semua pengguna perangkat lunak.
