
La Cybersecurity & Infrastructure Security Agency des États-Unis met en garde contre deux vulnérabilités exploitées dans des attaques, y compris un chemin traversant affectant Apache OFBiz.
Apache OFBiz (Open For Business) est un système de planification des ressources d’entreprise (ERP) open source populaire qui fournit une suite d’applications métier pour gérer divers aspects d’une organisation. En raison de sa polyvalence et de sa rentabilité, il est utilisé dans un large éventail d’industries et de tailles d’entreprises.
La faille ajoutée au Catalogue de vulnérabilités exploitées (KEV) connu de CISA est CVE-2024-32113, une vulnérabilité de traversée de chemin affectant les versions OFBiz antérieures à 18.12.13. S’il était exploité, il pourrait permettre aux attaquants d’exécuter à distance des commandes arbitraires sur des serveurs vulnérables.
Les agences fédérales et les organisations étatiques ont jusqu’au 28 août 2024 pour appliquer les mises à jour de sécurité et les mesures d’atténuation disponibles qui traitent le risque ou cessent d’utiliser le produit.
La deuxième faille ajoutée à KEV hier, et pour laquelle CISA a fixé la même date limite, est CVE-2024-36971, un noyau Android zero-day Google corrigé plus tôt cette semaine.
Détails de la faille OFBiz
La faille Apache OFBiz CVE-2024-32113 a été corrigée le 8 mai 2024. À la fin du mois, les chercheurs en sécurité ont publié des détails complets sur l’exploitation démontrant comment la faille pouvait être utilisée pour le déploiement de logiciels malveillants et le pivotement vers d’autres segments de réseau.
La faille est causée par une combinaison d’une validation insuffisante des entrées et d’une mauvaise gestion des données fournies par l’utilisateur, en particulier l’échec de la désinfection des URL, ce qui permet des séquences de traversée de répertoires similaires ../ et; pour contourner les filtres de sécurité.
En plus de cela, l’exécution de scripts Groovy fournis par l’utilisateur a une liste de blocage inadéquate, ne bloquant pas les commandes dangereuses et permettant à des acteurs malveillants d’exécuter du code arbitraire.
Peu de temps après que le chercheur en sécurité « Unam4 » a publié des détails sur l’exploitation de la faille sur son blog, d’autres ont exploité les informations pour développer des exploits fonctionnels, qu’ils ont téléchargés sur GitHub.

Nouveau RCE de préautorisation
Alors que CISA met en garde contre l’exploitation active de CVE-2024-32113, une nouvelle faille qui affecte les versions plus récentes d’Apache OFBiz a été découverte plus tôt cette semaine.
Répertoriée sous la référence CVE-2024-38856, la faille est un problème critique (score CVSS: 9,8) d’exécution de code à distance de pré-authentification affectant les versions d’Apache OFBiz jusqu’au 18.12.14.
SonicWall a publié lundi de nombreux détails techniques sur CVE-2024-38856, tandis que plusieurs exploits de validation de principe ont été mis à disposition sur GitHub.
Par conséquent, l’exploitation active par les acteurs de la menace commencera probablement à tout moment.
Ce problème a été résolu avec la sortie de la version 18.12.15 d’OFBiz, qui devrait être la cible de mise à niveau pour tous les utilisateurs du logiciel.