Разделы

ПО Безопасность

Уязвимость в Apache OFBiz позволяет эксплуатировать другую, ранее исправленную лазейку для хакеров

Ошибка в механизме авторизации ERP-платформы Apache OFBiz открыла доступ к запуску произвольного кода, а заодно вернула на место уязвимость, казалось бы, ликвидированную прошлым патчем.

Почти максимальная угроза

В открытом ERP-комплексе Apache OFBiz выявлена критическая уязвимость, набравшая почти максимальный балл по шкале угроз CVSS – 9,8 из 10. Уязвимость CVE-2024-38856 затрагивает все версии Apache OFBiz до индекса 18.12.15 и обеспечивает злоумышленникам возможность запускать произвольный код в контексте системы. Проблема, как указывают обнаружившие ее эксперты компании SonicWall, коренится в механизме авторизации Apache OFBiz: не аутентифицированные пользователи могут получать доступ к функциям, которые обычно требуют авторизации.

«Ошибка в функции переопределения представления (override view) делает критически важные конечные точки уязвимыми для неавторизованных злоумышленников, использующих специально созданный запрос; это открывает путь для удаленного выполнения кода», – говорится в публикации SonicWall.

CVE-2024-38856 также позволяет обходить исправления, внесенные июньским патчем 18.12.14, которые устраняли уязвимость обхода пути (CVE-2024-36104), которая также затрагивала все версии Apache OFBiz до патча.

Ошибка в механизме авторизации Apache OFBiz позволяет не аутентифицированным пользователям получать доступ к функциям, которые обычно требуют авторизации

Как теперь выясняется, патч не обеспечивал надежной защиты. Новое исправление реализует необходимые проверки исполнения проблемных функций. В SonicWall уже написали эксплойт к новой уязвимости; после установки патча этот эксплойт перестал работать.

170 потенциальных жертв

OFBiz является гибко настраиваемой системой корпоративного планирования ресурсов (ERP), позволяющей интегрировать и автоматизировать множество бизнес-процессов внутри компании.

Apache OFBiz используют всего около 170 компаний в мире, но среди них – очень крупные корпорации, в том числе United Airlines, Home Depot, Cognizant Technology Solutions Corp., Titan Industries, HP Development Company и др. Большинство компаний-пользователей располагаются в США, Индии и Германии. Все они могут стать в ближайшие дни объектами атак, считают специалисты.

Андрей Максимов, «Гринатом»: ИИ позволяет «поговорить» с документом, не изучая его от начала и до конца
Энергия ИИ

«Возможность запуска кода без авторизации де-факто означает возможность ставить уязвимое решение под свой полный контроль, – говорит Александр Зонов, эксперт по информационной безопасности компании SEQ. – Высокий балл, присвоенный уязвимости, также означает, что ее эксплуатация сугубо тривиальна. Можно ожидать, что в ближайшее время злоумышленники начнут сканирование Сети в поисках уязвимых установок OFBiz, так что ее пользователям самое время озаботиться защитой своих ресурсов».

Технические подробности об уязвимости доступны в публикации SonicWall.

Роман Георгиев