Apacheは、オープンソースのOFBiz(Open For Business)ソフトウェアに、脆弱なLinuxおよびWindowsサーバー上で攻撃者に任意のコードを実行される可能性のある重大なセキュリティ脆弱性を修正した。
OFBizは、顧客関係管理(CRM)と企業資源計画(ERP)のビジネス・アプリケーション・スイートで、ウェブ・アプリケーションを開発するためのJavaベースのウェブ・フレームワークとしても使用できる。
CVE-2024-45195として追跡され、Rapid7のセキュリティ研究者によって発見されたこのリモートコード実行の欠陥は、認証されていない直接リクエスト攻撃に制限されたパスをさらす強制ブラウジングの弱点によって引き起こされます。
「有効な認証情報を持たない攻撃者は、ウェブ・アプリケーションのビュー認証チェックの欠落を悪用し、サーバ上で任意のコードを実行することができる」と、セキュリティ研究者のRyan Emmons氏は木曜日、概念実証の悪用コードを含むレポートの中で説明している。
Apacheのセキュリティ・チームは、バージョン18.12.16でこの脆弱性にパッチを当て、認証チェックを追加した。OFBizのユーザーは、潜在的な攻撃をブロックするために、できるだけ早くインストールをアップグレードすることをお勧めします。
過去のセキュリティ・パッチに対するバイパス
エモンズが本日さらに説明したように、CVE-2024-45195は、今年の初めからパッチが適用されており、CVE-2024-32113、CVE-2024-36104、CVE-2024-38856として追跡されている他の3つのOFBizの脆弱性に対するパッチのバイパスです。
「我々の分析によれば、これらの脆弱性のうち3つは本質的に同じ脆弱性で、根本的な原因も同じです」とエモンズ氏は付け加えた。
これらの脆弱性はすべて、コントローラ・ビュー・マップの断片化の問題によって引き起こされ、攻撃者はコードやSQLクエリを実行し、認証なしでリモート・コード実行を行うことができる。
8月上旬、CISAは、SonicWallの研究者がCVE-2024-38856事前認証RCEバグの技術的詳細を発表した数日後に、CVE-2024-32113 OFBizの脆弱性(5月にパッチが適用済み)が攻撃に悪用されていると警告した。
CISAはまた、積極的に悪用されている脆弱性のカタログに2つのセキュリティ バグを追加し、2021年11月に発行された拘束力のある運用指令(BOD 22-01)で義務付けられているように、連邦政府機関は3週間以内にサーバーにパッチを適用するよう求めた。
BOD 22-01が適用されるのは連邦政府民間行政機関(FCEB)のみであるにもかかわらず、CISAはすべての組織に対し、ネットワークを標的とする可能性のある攻撃を阻止するために、これらの欠陥に優先的にパッチを適用するよう促した。
12月、攻撃者は、脆弱なConfluenceサーバーを見つけるために公開された概念実証(PoC)エクスプロイトを使用して、別のOFBiz事前認証リモートコード実行の脆弱性(CVE-2023-49070)を悪用し始めた。
Comments