Apache یک آسیب‌پذیری بحرانی RCE در نرم‌افزار OFBiz را اصلاح کرده است.

Apache  یک آسیب‌پذیری امنیتی بحرانی را در نرم‌افزار OFBiz مخفف( Open For Business) که متن‌باز است، برطرف کرده است. این آسیب‌پذیری به مهاجمان این امکان را می‌داده که کد دلخواهی را روی سرورهای آسیب‌پذیر که از سیستم‌عامل‌های لینوکس و ویندوز استفاده می‌کردند، اجرا کنند.

OFBiz مجموعه‌ای از برنامه‌های تجاری است که شامل نرم‌افزارهای مدیریت ارتباط با مشتری (CRM) و برنامه‌ریزی منابع سازمانی (ERP) می‌شود. این نرم‌افزارها برای مدیریت کسب‌وکارها استفاده می‌شوند. علاوه بر این، OFBiz می‌تواند به عنوان یک چارچوب توسعه وب مبتنی بر جاوا برای توسعه برنامه‌های وب مورد استفاده قرار گیرد.

این آسیب‌پذیری اجرای کد از راه دور که با شناسه  CVE-2024-45195 شناخته می‌شود و توسط محققان امنیتی شرکت Rapid7 کشف شده است، به دلیل یک ضعف در  Forced Browsing به وجود آمده است. این ضعف باعث می‌شود که مسیرهای محدودشده در معرض حملات درخواست مستقیم بدون احراز هویت قرار بگیرند.

مهاجمی که هیچ اعتبارنامه معتبر مثل نام کاربری و رمز عبور ندارد، می‌تواند از نبود بررسی‌های مجوز مشاهده (view authorization) در برنامه‌ی وب سوءاستفاده کند تا کد دلخواهی را روی سرور اجرا کند. محقق امنیتی  Ryan Emmons این توضیحات را در روز پنج‌شنبه در یک گزارش ارائه داد که شامل کد نمونه‌ای از چگونگی بهره‌برداری (Proof-of-Concept) از این آسیب‌پذیری است.

تیم امنیتی Apache این آسیب‌پذیری را در نسخه‌ی ۱۸٫۱۲٫۱۶ با اضافه کردن بررسی‌های مجوز (authorization checks) برطرف کرده است. به کاربران OFBiz توصیه می‌شود که هرچه سریع‌تر نسخه‌های نصب‌شده‌ی خود را به‌روزرسانی کنند تا از حملات احتمالی جلوگیری کنند.

روشی برای دور زدن وصله‌های امنیتی قبلی

طبق توضیحات Emmons امروز، آسیب‌پذیری CVE-2024-45195 در واقع روشی برای دور زدن وصله‌های امنیتی مربوط به سه آسیب‌پذیری دیگر در OFBiz است که از ابتدای سال جاری رفع شده‌اند. این سه آسیب‌پذیری به ترتیب با شناسه‌های CVE-2024-32113، CVE-2024-36104، و CVE-2024-38856 شناخته می‌شوند.

این سه آسیب‌پذیری که ذکر شده‌اند، هرچند به‌عنوان مشکلات جداگانه مطرح شده‌اند، اما منشأ و علت اصلی آن‌ها مشابه است و همه به یک نوع نقص در سیستم برمی‌گردند.

همه این آسیب‌پذیری‌ها به دلیل مشکل   controller-view map fragmentationبه وجود آمده‌اند. این مشکل به مهاجمان این امکان را می‌دهد که کد یا کوئری‌های SQL را اجرا کرده و به اجرای کد از راه دور (بدون نیاز به احراز هویت) دست یابند.

در اوایل ماه اوت،  CISAهشدار داد که آسیب‌پذیری CVE-2024-32113 در نرم‌افزار OFBiz که در ماه مه وصله شده بود در حملات مورد سوءاستفاده قرار می‌گیرد. این هشدار چند روز پس از آن صادر شد که محققان  SonicWall جزئیات فنی مربوط به آسیب‌پذیری اجرای کد از راه دور (RCE) پیش از احراز هویت با شناسه CVE-2024-38856 را منتشر کردند.

CISA این دو آسیب‌پذیری را به فهرست مشکلات امنیتی که به طور فعال مورد سوءاستفاده قرار می‌گیرند اضافه کرد و بر اساس دستورالعملی که برای امنیت سایبری سازمان‌های دولتی وضع شده است، آنها را ملزم به اصلاح آسیب‌پذیری‌ها در مدت زمان معین کرد.

هرچند که این دستورالعمل خاص فقط برای سازمان‌های دولتی فدرال لازم‌الاجرا است، CISA بر اهمیت اصلاح این آسیب‌پذیری‌ها برای همه‌ی سازمان‌ها تأکید کرد تا امنیت شبکه‌هایشان حفظ شود.

در ماه دسامبر، مهاجمان شروع به سوءاستفاده از یک آسیب‌پذیری دیگر در OFBiz با شناسه CVE-2023-49070 کردند که مربوط به اجرای کد از راه دور پیش از احراز هویت است. آنها از الگوهای اثبات مفهوم (PoC) عمومی استفاده کردند تا سرورهای آسیب‌پذیر Confluence را شناسایی کنند.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *