آژانس امنیت سایبری و زیرساختهای ایالات متحده (CISA) در حال هشدار دادن درباره دو آسیبپذیری است که در حملات سایبری مورد سوءاستفاده قرار گرفتهاند. یکی از این آسیبپذیریها شامل یک نقص امنیتی به نام Path Traversalاست که نرمافزار Apache OFBiz را تحت تأثیر قرار میدهد.این نقص امنیتی به مهاجمان اجازه میدهد تا به فایلها و دایرکتوریهای غیرمجاز در سرور Apache OFBiz دسترسی پیدا کنند.
Apache OFBiz ( مخفف “Open For Business” ) یک سیستم برنامهریزی منابع سازمانی (ERP) محبوب و متنباز است که مجموعهای از برنامههای کاربردی تجاری را برای مدیریت جنبههای مختلف یک سازمان فراهم میکند. به دلیل چندکاربردی بودن و مقرونبهصرفه بودن، این نرمافزار در صنایع مختلف و سازمانهای با اندازههای گوناگون مورد استفاده قرار میگیرد.
آسیبپذیری که به فهرست آسیبپذیریهای شناختهشده و مورد سوءاستفاده (KEV) توسط CISA اضافه شده، با شناسه CVE-2024-32113 مشخص شده است. این آسیبپذیری از نوع Path Traversalاست و نسخههای قبل از ۱۸٫۱۲٫۱۳ نرمافزار OFBiz را تحت تأثیر قرار میدهد. اگر از این آسیبپذیری سوءاستفاده شود، میتواند به مهاجمان اجازه دهد تا بهطور از راه دور دستورات دلخواه خود را روی سرورهای آسیبپذیر اجرا کنند.
آژانسهای فدرال و سازمانهای دولتی تا تاریخ ۲۸ اوت ۲۰۲۴ فرصت دارند تا بهروزرسانیها و تدابیر امنیتی موجود را که برای کاهش خطرات امنیتی مرتبط ارائه شدهاند، اعمال کنند یا استفاده از این محصول را متوقف کنند.
دومین آسیبپذیری که دیروز به فهرست آسیبپذیریهای شناختهشده و مورد سوءاستفاده (KEV) اضافه شده و برای آن CISA همان مهلت را تعیین کرده، با شناسه CVE-2024-36971 مشخص میشود. این آسیبپذیری یک نقص امنیتی نوع Zero-day در هسته اندروید است که گوگل اوایل این هفته آن را برطرف کرده است.
جزئیات آسیبپذیری OFBiz
آسیبپذیری Apache OFBiz با شناسه CVE-2024-32113 در تاریخ ۸ مه ۲۰۲۴ برطرف شد. تا پایان همان ماه، پژوهشگران امنیتی جزئیات کاملی از نحوه سوءاستفاده از این نقص را منتشر کردند که نشان میداد چگونه این آسیبپذیری میتواند برای نصب بدافزار و نفوذ به سایر بخشهای شبکه مورد استفاده قرار گیرد.
این نقص به دلیل ترکیبی از اعتبارسنجی ناکافی ورودیها و مدیریت نادرست دادههای ارائه شده توسط کاربر ایجاد میشود. بهطور خاص، عدم پاکسازی (sanitize) صحیح URLها باعث میشود که دنبالههای مسیریابی مانند ../ و ; بتوانند از فیلترهای امنیتی عبور کنند.
علاوه بر این، اجرای اسکریپتهای Groovy که توسط کاربران ارائه شدهاند، فهرستبندی ناکافی برای جلوگیری از دستورات خطرناک دارد. این نقص باعث میشود که دستورات مخرب مسدود نشوند و به مهاجمان اجازه میدهد تا کدهای دلخواه خود را اجرا کنند.
بلافاصله پس از آنکه پژوهشگر امنیتی با نام “Unam4” جزئیات مربوط به سوءاستفاده از این نقص را در وبلاگ خود منتشر کرد، دیگران از این اطلاعات استفاده کردند تا ابزارهای عملیاتی برای سوءاستفاده از آن نقص توسعه دهند و این ابزارها را به GitHub بارگذاری کردند.
اجرای کد از راه دور (RCE) جدید پیش از احراز هویت
در حالی که CISA درباره سوءاستفاده فعال از آسیبپذیری CVE-2024-32113 هشدار داده است، نقص جدیدتری که نسخههای جدیدتر Apache OFBiz را تحت تأثیر قرار میدهد، اوایل این هفته کشف شده است.
این نقص به مهاجمان اجازه میدهد تا کدهای مخرب را از راه دور و بدون نیاز به احراز هویت اجرا کنند و به دلیل شدت بالای آن، نمره CVSS 9.8 را دریافت کرده است. این آسیبپذیری نسخههای Apache OFBiz تا نسخه ۱۸٫۱۲٫۱۴ را شامل میشود.
SonicWall اطلاعات فنی کامل درباره این آسیبپذیری را ارائه کرده است و علاوه بر آن، ابزارهایی که نشان میدهند چگونه میتوان از این نقص سوءاستفاده کرد، به صورت عمومی و قابل دانلود در GitHub منتشر شدهاند.
به دلیل وجود جزئیات فنی و ابزارهای اثبات مفهوم در دسترس، انتظار میرود که مهاجمان بهزودی اقدام به سوءاستفاده از آسیبپذیری کنند.
برای رفع آسیبپذیری یا نقص مورد نظر، نسخه ۱۸٫۱۲٫۱۵ منتشر شده است و همه کاربران OFBiz باید به این نسخه جدید ارتقاء دهند تا مشکل حل شود.
