CISA 将 Apache OFBiz 严重漏洞添加至已知已利用漏洞目录

Apache OFBiz 是一个帮助行业管理其运营的系统，例如客户关系、人力资源职能、订单处理和仓库管理。大约 170 家公司使用 Apache OFBiz，其中 41% 在美国。据该平台网站称，其中包括联合航空公司、家得宝和 HP Development 等大佬。

该漏洞被跟踪为 CVE-2024-38856，在 CVSS 漏洞严重性量表上得分为 9.8 分（满分 10 分），因为它允许身份验证前远程代码执行 （RCE）。CISA 的举措是在 8 月初漏洞披露后向公众提供概念验证 （PoC） 漏洞之后采取的。

组织应更新到版本 18.12.15 以缓解威胁。联邦民事行政部门 （FCEB） 机构已获得 9 月 17 日的截止日期。

一个漏洞导致另一个漏洞

CVE-2024-38856 最初是由 SonicWall 的研究人员于本月早些时候发现的，当时他们正在分析平台中的另一个 RCE 漏洞 CVE-2024-36104。

CVE-2024-36104 允许远程攻击者访问系统目录，因为对用户请求的验证不充分。特别是由于 ControlServlet 和 RequestHandler 函数在收到相同的请求后接收不同的要处理的端点。如果运行正常，则两者都应获得相同的端点进行处理。

在测试 CVE-2024-36104 补丁时，研究人员发现了下一个漏洞 CVE-2024-38856，该漏洞允许通过 ProgramExport 端点进行未经身份验证的访问，这可能会启用任意代码执行，应予以限制。

避免漏洞利用

在一篇博文中，SonicWall 研究人员提供了一个攻击链示例，其中威胁行为者可以使用以下输入来利用 CVE-2024-38856，然后获得后续输出：

“POST /webtools/control/forgotPassword/ProgramExport HTTP/1.1

groovyProgram=throw new 异常 （’whoami’ .execute （） .text） ;”

其他可用于利用 CVE-2024-36104 的 URL 包括：

此漏洞会影响 Apache OFBiz 18.12.14 之前的所有版本，并且没有可用的临时补丁;用户和组织必须升级到最新版本，以防止漏洞被潜在利用。

Zscaler 的研究人员本月早些时候还分析了该漏洞，他表示，未能及时升级可能会“使威胁行为者能够操纵登录参数并在目标服务器上执行任意代码” ，尤其是在攻击者越来越多地利用公开披露的 PoC 漏洞利用漏洞的情况下。