CVE-2024-25065 & CVE-2024-23946: Critical Vulnerabilities Exposed in Apache OFBiz
2024/02/29 SecurityOnline — オープンソースの ERP フレームワークとして人気の Apache OFBiz に、2つの深刻な脆弱性 CVE-2024-25065/CVE-2024-23946 が発見された。これらの脆弱性には、広範なビジネス分野を危険にさらす可能性がある。
脆弱性の詳細
これらの脆弱性がどういったものなのか、簡単に説明する:
- CVE-2024-25065: パス・トラバーサルの脆弱性。この脆弱性の悪用に成功した攻撃者は、OFBiz システム内のファイル・パスの操作が可能となり、認証機構をバイパスし、アプリの機密領域に不正にアクセスする可能性がある。それにより、不正アクセスに関する重大な危機が生じることになる。この脆弱性は、YunPeng により発見された。
- CVE-2024-23946:こちらもパス・トラバーサルの脆弱性だが、ファイル・インクルード攻撃が生じるリスクが、さらに高くなる。この脆弱性の悪用に成功した攻撃者は、悪意のファイルの取り込みが可能となり、システムの完全性が損なわれる可能性が生じる。それにより、さらなる広範な攻撃の、第一歩がスタートする可能性もある。この脆弱性の発見者は、trendmicro.com の Arun Shaji だ。
広範におよぶ影響
これらの脆弱性の悪用が成功した場合の、潜在的な影響は憂慮すべきものである:
- 大規模なデータ盗難:侵入に成功した攻撃者は、顧客情報/財務記録/企業秘密など、全ての機密情報を流出させる可能性がある。
- オペレーションの混乱:攻撃者による悪意の活動で、在庫システムの破壊/注文の誤送信/生産ラインの停止などが生じる可能性がある。
- ランサムウェアの脅威:攻撃者は、これらの侵入口を利用して被害者のシステムを暗号化し、アクセスを回復するために身代金を要求する。
解決策:パッチと保護
良いニュースは、修正方法があるということだ! この2つの脆弱性に対処した Apache OFBiz 18.12.12 へと、直ちにアップグレードする必要がある。それにより、潜在的な攻撃の侵入口を塞ぐことができる。
Apache OFBiz に、2024年に入ってから2度目の脆弱性です。どちらも、現時点では NVD にエントリーされていないので、VulDB で CVSS 値を調べてみたら、CVE-2024-25065 は 6.0/CVE-2024-23946 は 5.1 と評価されていました。ご利用のチームは、ご注意ください。つい先日の、2024/01/11 にも「Apache OfBiz の深刻な脆弱性 CVE-2023-51467:PoC エクスプロイトが公開された」という記事がポストされていました。よろしければ、Apache OFBiz で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.