Apache heeft een kritieke beveiligingslek in zijn open-source OFBiz (Open For Business) software verholpen, waardoor aanvallers willekeurige code zouden kunnen uitvoeren op kwetsbare Linux- en Windows-servers.

OFBiz is een pakket klantrelatiebeheer (CRM) en bedrijfsresourceplanning (ERP) bedrijfsapplicaties dat ook kan worden gebruikt als een op Java gebaseerd webframework voor het ontwikkelen van webtoepassingen.

Geregistreerd als CVE-2024-45195 en ontdekt door Rapid7-beveiligingsonderzoekers, wordt dit remote code execution-lek veroorzaakt door een geforceerde browse-zwakheid die beperkte paden blootlegt aan ongeauthenticeerde directe verzoekaanvallen.

“Een aanvaller zonder geldige inloggegevens kan ontbrekende weergave-autorisatiecontroles in de webapplicatie misbruiken om willekeurige code op de server uit te voeren,” legde beveiligingsonderzoeker Ryan Emmons donderdag uit in een rapport met bewijs-van-concept exploitcode.

Het Apache-beveiligingsteam heeft het lek gepatcht in versie 18.12.16 door autorisatiecontroles toe te voegen. OFBiz-gebruikers wordt geadviseerd hun installaties zo snel mogelijk bij te werken om mogelijke aanvallen te blokkeren.

Omzeilen van eerdere beveiligingspatches

Zoals Emmons vandaag verder uitlegde, is CVE-2024-45195 een patchomzeiling voor drie andere OFBiz-kwetsbaarheden die sinds het begin van het jaar zijn gepatcht en geregistreerd zijn als CVE-2024-32113, CVE-2024-36104 en CVE-2024-38856.

“Op basis van onze analyse zijn drie van deze kwetsbaarheden in wezen dezelfde kwetsbaarheid met dezelfde grondoorzaak,” voegde Emmons toe.

Allemaal worden ze veroorzaakt door een probleem met de controller-view mapping, waardoor aanvallers code of SQL-query’s kunnen uitvoeren en remote code execution kunnen bereiken zonder authenticatie.

Begin augustus waarschuwde CISA dat de CVE-2024-32113 OFBiz-kwetsbaarheid (gepatcht in mei) werd uitgebuit bij aanvallen, enkele dagen nadat onderzoekers van SonicWall technische details publiceerden over de CVE-2024-38856 pre-authenticatie RCE-bug.

CISA voegde ook de twee beveiligingsbugs toe aan zijn catalogus van actief uitgebuite kwetsbaarheden, waarbij federale agentschappen werden vereist hun servers binnen drie weken te patchen zoals voorgeschreven in de bindende operationele richtlijn (BOD 22-01) die in november 2021 werd uitgevaardigd.

Hoewel BOD 22-01 alleen van toepassing is op federale civiele uitvoerende agentschappen (FCEB), riep CISA alle organisaties op om prioriteit te geven aan het patchen van deze fouten om aanvallen die op hun netwerken gericht zouden kunnen zijn, te voorkomen.

In december begonnen aanvallers een andere OFBiz-pre-authenticatie remote code execution-kwetsbaarheid (CVE-2023-49070) te misbruiken met behulp van openbare bewijs-van-concept (PoC) exploits om kwetsbare Confluence-servers te vinden.