CVE-2024-38856: критический 0day в Apache OFBiz ведёт к удалённому выполнению кода

В Apache OFBiz обнаружена новая уязвимость, позволяющая злоумышленникам удалённо выполнять код на уязвимых экземплярах программы. Проблема, известная как CVE-2024-38856, получила оценку 9.8 по шкале CVSS, что свидетельствует о её критической опасности. Уязвимыми являются экземпляры Apache OFBiz, выпущенные до версии 18.12.15.

Компания SonicWall , выявившая уязвимость и сообщившая о ней, отметила, что причина проблемы кроется в механизме аутентификации. Эта ошибка позволяет неавторизованным пользователям получить доступ к функциям, которые обычно требуют входа в систему, открывая путь для удалённого выполнения кода.

CVE-2024-38856 также является обходом патча для уязвимости CVE-2024-36104, которая была устранена в июне 2024 года с выпуском версии 18.12.14. По словам представителей SonicWall, проблема заключается в функции Override View, которая открывает критические конечные точки для неавторизованных пользователей, позволяя им выполнять удалённый код через специально сформированные запросы.

Исследователь безопасности Хасиб Вора отметил, что доступ к конечной точке ProgramExport предоставлялся без аутентификации, что позволяло злоумышленникам воспользоваться любой другой конечной точкой, не требующей авторизации, через функцию Override View. К счастью, уязвимость была исправлена в версии OFBiz 18.12.15 при помощи этого коммита на GitHub .

Хотя ни представители Apache, ни исследователи из SonicWall не указали чёткой информации об эксплуатации уязвимости до обнаружения, они всё же пометили её как zero-day брешь. Это значит, что обновиться до безопасной версии нужно как можно скорее, так как у хакеров уже есть полное представление о том, как использовать уязвимость в реальных атаках.

Эти события происходят на фоне другой критической уязвимости в OFBiz, CVE-2024-32113, которая уже активно эксплуатируется для развёртывания ботнета Mirai. Патч для этой уязвимости был выпущен в мае 2024 года, однако администраторы не спешат с развёртыванием обновлений, делая свою инфраструктуру уязвимой.

В декабре 2023 года SonicWall также сообщила о другой уязвимости нулевого дня в том же программном обеспечении ( CVE-2023-51467 ), которая позволяла обходить защиту аутентификации. Эта уязвимость также подверглась многочисленным попыткам эксплуатации со стороны злоумышленников.