A Apache acaba de corrigir uma vulnerabilidade crítica de segurança em seu software OFBiz (Open For Business) de código aberto. Essa vulnerabilidade corrigida, poderia permitir que invasores executassem código arbitrário em servidores Linux e Windows vulneráveis.
Vulnerabilidade corrigida no software OFBiz da Apache
O OFBiz é um conjunto de aplicativos de negócios de gerenciamento de relacionamento com o cliente (CRM) e planejamento de recursos empresariais (ERP) que também pode ser usado como uma estrutura da web baseada em Java para desenvolver aplicativos da web. Rastreada como CVE-2024-45195 e descoberta por pesquisadores de segurança da Rapid7, essa falha de execução remota de código é causada por uma fraqueza de navegação forçada que expõe caminhos restritos a ataques de solicitação direta não autenticados.
Um invasor sem credenciais válidas pode explorar verificações de autorização de exibição ausentes no aplicativo da web para executar código arbitrário no servidor.
Pesquisador de segurança Ryan Emmons
A equipe de segurança do Apache corrigiu a vulnerabilidade na versão 18.12.16 adicionando verificações de autorização. Usuários do OFBiz são aconselhados a atualizar suas instalações o mais rápido possível para bloquear ataques em potencial.
Ignorar patches de segurança anteriores
Como Emmons explicou (Via: Bleeping Computer), a CVE-2024-45195 é um desvio de patch para três outras vulnerabilidades do OFBiz que foram corrigidas desde o início do ano e são rastreadas como CVE-2024-32113, CVE-2024-36104 e CVE-2024-38856.
Todos eles são causados por um problema de fragmentação do mapa de visualização do controlador que permite que invasores executem código ou consultas SQL e obtenham execução remota de código sem autenticação.
No início de agosto, o Bleeping Computer lembra que a CISA alertou que a vulnerabilidade CVE-2024-32113 OFBiz (corrigida em maio) estava sendo explorada em ataques, dias após os pesquisadores da SonicWall publicarem detalhes técnicos sobre o bug de RCE de pré-autenticação CVE-2024-38856. A CISA também adicionou os dois bugs de segurança ao seu catálogo de vulnerabilidades exploradas ativamente, exigindo que as agências federais apliquem patches em seus servidores dentro de três semanas, conforme determinado pela diretiva operacional vinculativa (BOD 22-01) emitida em novembro de 2021.
Embora o BOD 22-01 se aplique apenas a agências do Poder Executivo Civil Federal (FCEB), a CISA pediu que todas as organizações priorizem a correção dessas falhas para impedir ataques que possam ter como alvo suas redes. Em dezembro, os invasores começaram a explorar outra vulnerabilidade de execução remota de código de pré-autenticação do OFBiz (CVE-2023-49070) usando explorações de prova de conceito (PoC) públicas para encontrar servidores Confluence vulneráveis.
Via: Bleeping Computer