Apache a corrigé une vulnérabilité de sécurité critique dans son logiciel open source OFBiz( Open For Business), qui pourrait permettre aux attaquants d’exécuter du code arbitraire sur des serveurs Linux et Windows vulnérables.
OFBiz est une suite d’applications métier de gestion de la relation client (CRM) et de planification des ressources d’entreprise (ERP) qui peuvent également être utilisées comme framework Web basé sur Java pour développer des applications Web.
Identifiée sous le numéro CVE-2024-45195 et découverte par les chercheurs en sécurité de Rapid7, cette faille d’exécution de code à distance est causée par une faiblesse de navigation forcée qui expose des chemins restreints à des attaques de requêtes directes non authentifiées.
« Un attaquant sans informations d’identification valides peut exploiter les vérifications d’autorisation de vue manquantes dans l’application Web pour exécuter du code arbitraire sur le serveur », a expliqué jeudi le chercheur en sécurité Ryan Emmons dans un rapport contenant un code d’exploitation de preuve de concept.
L’équipe de sécurité Apache a corrigé la vulnérabilité dans la version 18.12.16 en ajoutant des vérifications d’autorisation. Il est conseillé aux utilisateurs d’OFBiz de mettre à niveau leurs installations dès que possible pour bloquer les attaques potentielles.
Contournement des correctifs de sécurité précédents
Comme Emmons l’a expliqué plus en détail aujourd’hui, CVE-2024-45195 est un contournement de correctif pour trois autres vulnérabilités OFBiz qui ont été corrigées depuis le début de l’année et sont suivies sous les noms CVE-2024-32113, CVE-2024-36104 et CVE-2024-38856.
« D’après notre analyse, trois de ces vulnérabilités sont essentiellement la même vulnérabilité avec la même cause fondamentale », a ajouté Emmons.
Tous sont causés par un problème de fragmentation de la carte vue par le contrôleur qui permet aux attaquants d’exécuter du code ou des requêtes SQL et d’exécuter du code à distance sans authentification.
Début août, CISA a averti que la vulnérabilité OFBiz CVE-2024-32113 (corrigée en mai) était exploitée dans des attaques, quelques jours après que les chercheurs de SonicWall ont publié des détails techniques sur le bogue RCE de pré-authentification CVE-2024-38856.
CISA a également ajouté les deux bogues de sécurité à son catalogue de vulnérabilités activement exploitées, obligeant les agences fédérales à corriger leurs serveurs dans un délai de trois semaines, conformément à la directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2021.
Même si la DBO 22-01 ne s’applique qu’aux agences de l’Exécutif civil fédéral (FCEB), la CISA a exhorté toutes les organisations à donner la priorité à la correction de ces failles pour contrecarrer les attaques qui pourraient cibler leurs réseaux.
En décembre, des attaquants ont commencé à exploiter une autre vulnérabilité d’exécution de code à distance de pré-authentification OFBiz (CVE-2023-49070) en utilisant des exploits de preuve de concept (PoC) publics pour trouver des serveurs Confluence vulnérables.