Apache ha solucionado una vulnerabilidad de seguridad crítica en su software de código abierto OFBiz (Open For Business), que podría permitir a los atacantes ejecutar código arbitrario en servidores Linux y Windows vulnerables.
OFBiz es un conjunto de aplicaciones comerciales de gestión de relaciones con los clientes (CRM) y planificación de recursos empresariales (ERP) que también se puede utilizar como un marco web basado en Java para el desarrollo de aplicaciones web.
Seguimiento como CVE-2024-45195 y descubierto por investigadores de seguridad de Rapid7, este fallo de ejecución remota de código es causado por una debilidad de navegación forzada que expone rutas restringidas a ataques de solicitud directa no autenticados.
«Un atacante sin credenciales válidas puede aprovechar los controles de permisos de visualización que faltan en la aplicación web para ejecutar código arbitrario en el servidor», dijo el investigador de seguridad Ryan Emmons. explicar jueves en un informe que contiene código de explotación de prueba de concepto.
El equipo de seguridad de Apache solucionó la vulnerabilidad en la versión 18.12.16 agregando comprobaciones de autorización. Se recomienda a los usuarios de OFBiz que actualicen sus instalaciones lo antes posible para bloquear posibles ataques.
Omitir correcciones de seguridad anteriores
Como Emmons explicó con más detalle hoy, CVE-2024-45195 es una solución alternativa para otras tres vulnerabilidades de OFBiz que han sido parcheadas desde principios de año y están siendo rastreadas como CVE-2024-32113, CVE-2024-36104Y CVE-2024-38856.
«Según nuestro análisis, tres de estas vulnerabilidades son, esencialmente, la misma vulnerabilidad con la misma causa raíz», añadió Emmons.
Todos estos problemas son causados por un problema de fragmentación del mapa de vista del controlador que permite a los atacantes ejecutar código o consultas SQL y ejecutar código de forma remota sin autenticación.
A principios de agosto, CISA advirtió que la vulnerabilidad OFBiz CVE-2024-32113 (parcheada en mayo) estaba siendo aprovechada en ataques, días después de que los investigadores de SonicWall detalles técnicos publicados sobre el error RCE de autenticación previa CVE-2024-38856.
CISA también agregó ambos seguridad insectos a su catálogo de vulnerabilidades explotadas activamente, lo que exige que las agencias federales parcheen sus servidores en un plazo de tres semanas, según lo exige la Directiva operativa vinculante (BOD 22-01) emitida en noviembre de 2021.
Aunque BOD 22-01 solo se aplica a las agencias del Poder Ejecutivo Civil Federal (FCEB), CISA instó a todas las organizaciones a priorizar la reparación de estas vulnerabilidades para frustrar los ataques que podrían tener como objetivo sus redes.
En diciembre, los atacantes comenzaron a explotar otra vulnerabilidad de ejecución remota de código de autenticación previa de OFBiz (CVE-2023-49070) mediante el uso de exploits de prueba de concepto (PoC) públicos para encontrar servidores Confluence vulnerables.