Apache telah memperbaiki kerentanan keamanan kritis dalam perangkat lunak OFBiz (Open For Business) sumber terbukanya, yang dapat memungkinkan penyerang untuk mengeksekusi kode sembarangan pada server Linux dan Windows yang rentan.
OFBiz adalah rangkaian aplikasi bisnis manajemen hubungan pelanggan (CRM) dan perencanaan sumber daya perusahaan (ERP) yang juga dapat digunakan sebagai kerangka kerja web berbasis Java untuk mengembangkan aplikasi web.
Dilacak sebagai CVE-2024-45195 dan ditemukan oleh peneliti keamanan Rapid7, kelemahan eksekusi kode jarak jauh ini disebabkan oleh kelemahan penelusuran paksa yang memaparkan jalur terbatas terhadap serangan permintaan langsung yang tidak diautentikasi.
“Seorang penyerang tanpa kredensial yang valid dapat mengeksploitasi pemeriksaan otorisasi tampilan yang hilang di aplikasi web untuk mengeksekusi kode sewenang-wenang di server,” kata peneliti keamanan Ryan Emmons dijelaskan pada hari Kamis dalam sebuah laporan yang berisi kode eksploitasi bukti konsep.
Tim keamanan Apache menambal kerentanan tersebut pada versi 18.12.16 dengan menambahkan pemeriksaan otorisasi. Pengguna OFBiz disarankan untuk memutakhirkan instalasi mereka sesegera mungkin guna memblokir potensi serangan.
Bypass untuk patch keamanan sebelumnya
Seperti yang dijelaskan Emmons hari ini, CVE-2024-45195 adalah patch bypass untuk tiga kerentanan OFBiz lainnya yang telah ditambal sejak awal tahun dan dilacak sebagai CVE-2024-32113Bahasa Indonesia: CVE-2024-36104Dan CVE-2024-38856.
“Berdasarkan analisis kami, tiga dari kerentanan ini, pada dasarnya, merupakan kerentanan yang sama dengan akar penyebab yang sama,” tambah Emmons.
Semuanya disebabkan oleh masalah fragmentasi peta tampilan pengontrol yang memungkinkan penyerang untuk mengeksekusi kode atau kueri SQL dan mencapai eksekusi kode jarak jauh tanpa autentikasi.
Pada awal Agustus, CISA diperingatkan bahwa kerentanan OFBiz CVE-2024-32113 (ditambal pada bulan Mei) sedang dieksploitasi dalam serangan, beberapa hari setelah peneliti SonicWall rincian teknis yang dipublikasikan pada bug RCE pra-autentikasi CVE-2024-38856.
CISA juga menambahkan dua keamanan serangga terhadap katalog kerentanan yang dieksploitasi secara aktif, yang mengharuskan badan-badan federal untuk menambal server mereka dalam waktu tiga minggu sebagaimana diamanatkan oleh petunjuk operasional yang mengikat (BOD 22-01) diterbitkan pada bulan November 2021.
Meskipun BOD 22-01 hanya berlaku untuk lembaga Cabang Eksekutif Sipil Federal (FCEB), CISA mendesak semua organisasi untuk memprioritaskan perbaikan kelemahan ini guna menggagalkan serangan yang dapat menargetkan jaringan mereka.
Pada bulan Desember, penyerang mulai mengeksploitasi kerentanan eksekusi kode jarak jauh pra-autentikasi OFBiz lainnya (CVE-2023-49070) yang menggunakan eksploitasi bukti konsep (PoC) publik untuk menemukan server Confluence yang rentan.
