Apache یک آسیبپذیری امنیتی بحرانی را در نرمافزار OFBiz مخفف( Open For Business) که متنباز است، برطرف کرده است. این آسیبپذیری به مهاجمان این امکان را میداده که کد دلخواهی را روی سرورهای آسیبپذیر که از سیستمعاملهای لینوکس و ویندوز استفاده میکردند، اجرا کنند.
OFBiz مجموعهای از برنامههای تجاری است که شامل نرمافزارهای مدیریت ارتباط با مشتری (CRM) و برنامهریزی منابع سازمانی (ERP) میشود. این نرمافزارها برای مدیریت کسبوکارها استفاده میشوند. علاوه بر این، OFBiz میتواند به عنوان یک چارچوب توسعه وب مبتنی بر جاوا برای توسعه برنامههای وب مورد استفاده قرار گیرد.
این آسیبپذیری اجرای کد از راه دور که با شناسه CVE-2024-45195 شناخته میشود و توسط محققان امنیتی شرکت Rapid7 کشف شده است، به دلیل یک ضعف در Forced Browsing به وجود آمده است. این ضعف باعث میشود که مسیرهای محدودشده در معرض حملات درخواست مستقیم بدون احراز هویت قرار بگیرند.
مهاجمی که هیچ اعتبارنامه معتبر مثل نام کاربری و رمز عبور ندارد، میتواند از نبود بررسیهای مجوز مشاهده (view authorization) در برنامهی وب سوءاستفاده کند تا کد دلخواهی را روی سرور اجرا کند. محقق امنیتی Ryan Emmons این توضیحات را در روز پنجشنبه در یک گزارش ارائه داد که شامل کد نمونهای از چگونگی بهرهبرداری (Proof-of-Concept) از این آسیبپذیری است.
تیم امنیتی Apache این آسیبپذیری را در نسخهی ۱۸٫۱۲٫۱۶ با اضافه کردن بررسیهای مجوز (authorization checks) برطرف کرده است. به کاربران OFBiz توصیه میشود که هرچه سریعتر نسخههای نصبشدهی خود را بهروزرسانی کنند تا از حملات احتمالی جلوگیری کنند.
روشی برای دور زدن وصلههای امنیتی قبلی
طبق توضیحات Emmons امروز، آسیبپذیری CVE-2024-45195 در واقع روشی برای دور زدن وصلههای امنیتی مربوط به سه آسیبپذیری دیگر در OFBiz است که از ابتدای سال جاری رفع شدهاند. این سه آسیبپذیری به ترتیب با شناسههای CVE-2024-32113، CVE-2024-36104، و CVE-2024-38856 شناخته میشوند.
این سه آسیبپذیری که ذکر شدهاند، هرچند بهعنوان مشکلات جداگانه مطرح شدهاند، اما منشأ و علت اصلی آنها مشابه است و همه به یک نوع نقص در سیستم برمیگردند.
همه این آسیبپذیریها به دلیل مشکل controller-view map fragmentationبه وجود آمدهاند. این مشکل به مهاجمان این امکان را میدهد که کد یا کوئریهای SQL را اجرا کرده و به اجرای کد از راه دور (بدون نیاز به احراز هویت) دست یابند.
در اوایل ماه اوت، CISAهشدار داد که آسیبپذیری CVE-2024-32113 در نرمافزار OFBiz که در ماه مه وصله شده بود در حملات مورد سوءاستفاده قرار میگیرد. این هشدار چند روز پس از آن صادر شد که محققان SonicWall جزئیات فنی مربوط به آسیبپذیری اجرای کد از راه دور (RCE) پیش از احراز هویت با شناسه CVE-2024-38856 را منتشر کردند.
CISA این دو آسیبپذیری را به فهرست مشکلات امنیتی که به طور فعال مورد سوءاستفاده قرار میگیرند اضافه کرد و بر اساس دستورالعملی که برای امنیت سایبری سازمانهای دولتی وضع شده است، آنها را ملزم به اصلاح آسیبپذیریها در مدت زمان معین کرد.
هرچند که این دستورالعمل خاص فقط برای سازمانهای دولتی فدرال لازمالاجرا است، CISA بر اهمیت اصلاح این آسیبپذیریها برای همهی سازمانها تأکید کرد تا امنیت شبکههایشان حفظ شود.
در ماه دسامبر، مهاجمان شروع به سوءاستفاده از یک آسیبپذیری دیگر در OFBiz با شناسه CVE-2023-49070 کردند که مربوط به اجرای کد از راه دور پیش از احراز هویت است. آنها از الگوهای اثبات مفهوم (PoC) عمومی استفاده کردند تا سرورهای آسیبپذیر Confluence را شناسایی کنند.