Поделиться
Уязвимость в Apache OFBiz позволяет эксплуатировать другую, ранее исправленную лазейку для хакеров
Ошибка в механизме авторизации ERP-платформы Apache OFBiz открыла доступ к запуску произвольного кода, а заодно вернула на место уязвимость, казалось бы, ликвидированную прошлым патчем.
Почти максимальная угроза
В открытом ERP-комплексе Apache OFBiz выявлена критическая уязвимость, набравшая почти максимальный балл по шкале угроз CVSS – 9,8 из 10. Уязвимость CVE-2024-38856 затрагивает все версии Apache OFBiz до индекса 18.12.15 и обеспечивает злоумышленникам возможность запускать произвольный код в контексте системы. Проблема, как указывают обнаружившие ее эксперты компании SonicWall, коренится в механизме авторизации Apache OFBiz: не аутентифицированные пользователи могут получать доступ к функциям, которые обычно требуют авторизации.
«Ошибка в функции переопределения представления (override view) делает критически важные конечные точки уязвимыми для неавторизованных злоумышленников, использующих специально созданный запрос; это открывает путь для удаленного выполнения кода», – говорится в публикации SonicWall.
CVE-2024-38856 также позволяет обходить исправления, внесенные июньским патчем 18.12.14, которые устраняли уязвимость обхода пути (CVE-2024-36104), которая также затрагивала все версии Apache OFBiz до патча.
Как теперь выясняется, патч не обеспечивал надежной защиты. Новое исправление реализует необходимые проверки исполнения проблемных функций. В SonicWall уже написали эксплойт к новой уязвимости; после установки патча этот эксплойт перестал работать.
170 потенциальных жертв
OFBiz является гибко настраиваемой системой корпоративного планирования ресурсов (ERP), позволяющей интегрировать и автоматизировать множество бизнес-процессов внутри компании.
Apache OFBiz используют всего около 170 компаний в мире, но среди них – очень крупные корпорации, в том числе United Airlines, Home Depot, Cognizant Technology Solutions Corp., Titan Industries, HP Development Company и др. Большинство компаний-пользователей располагаются в США, Индии и Германии. Все они могут стать в ближайшие дни объектами атак, считают специалисты.
«Возможность запуска кода без авторизации де-факто означает возможность ставить уязвимое решение под свой полный контроль, – говорит Александр Зонов, эксперт по информационной безопасности компании SEQ. – Высокий балл, присвоенный уязвимости, также означает, что ее эксплуатация сугубо тривиальна. Можно ожидать, что в ближайшее время злоумышленники начнут сканирование Сети в поисках уязвимых установок OFBiz, так что ее пользователям самое время озаботиться защитой своих ресурсов».
Технические подробности об уязвимости доступны в публикации SonicWall.
Поделиться
Короткая ссылка
