Exploited: CISA Highlights Apache OFBiz Flaw After PoC Emerges
2024/08/30 DarkReading — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Apache OFBiz の脆弱性 CVE-2024-38856 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。Apache OFBiz は、オープンソース の ERP (Enterprise Resource Planning) システムであり、顧客対応/人事機能/注文処理/倉庫管理などの、産業界における業務管理を支援するものだ。そのユーザー企業は約 170社であり、そのうちの 41%が米国にある。同プラットフォームの Web サイトには、United Airlines/Home Depot/HP Development などの大企業が名を連ねている。
脆弱性 CVE-2024-38856 の悪用に成功すると、認証前のリモート・コード実行 (RCE) が可能になるため、CVSS スコアは 9.8 となっている。この脆弱性が公表された後の8月上旬に、PoC エクスプロイトが公開されたことで、CISA KEV カタログへの登録も行われることになった。
ユーザー組織にとって必要なことは、バージョン 18.12.15 へとアップデートし、この脅威を緩和することだ。なお、連邦民間行政機関 (FCEB:Federal Civilian Executive Branch) は、9月17日までにアップデートを行うよう指示されている。
SonicWall の Executive Director of Threat Research である Douglas McKee は、「SonicWall の立場から言えることは、かなり広範な悪用の試みが見られたということだ。”試み” という言葉を使ったのは、その悪用が、必ずしも成功したかどうかわからないからだ。私たちの顧客の約 16%が、この脆弱性の悪用に直面し始めている」と、Dark Reading に語っている。
CVE-2024-36104 の分析中に発見された CVE-2024-38856
8月の初めに SonicWall の研究者が、同プラットフォームの別の RCE 脆弱性 CVE-2024-36104 を分析している最中に、今回の CVE-2024-38856 が発見された。
脆弱性 CVE-2024-36104 は、ユーザー・リクエスト2対する不十分な検証により、リモート攻撃者によるシステム・ディレクトリへのアクセスを許すものだ。その原因は、ControlServlet 関数と RequestHandler 関数が、同じリクエストを受け取った後の処理のために、異なるエンドポイントを受け取るところにある。正しく機能していれば、どちらも同じエンドポイントを受け取って処理するはずである。
そして、CVE-2024-36104 に対するパッチをテストしている間に、研究者たちは ら棚脆弱性 CVE-2024-38856 を発見した。この脆弱性の悪用に成功した攻撃者は、ProgramExport エンドポイントを経由した未認証によるアクセスを達成し、任意のコード実行の可能性を手にする。
Apache OFBiz チームは、脆弱性を修正しようと試みたが、根本的な原因の特定には至らなかった。結局のところ、複数の脆弱性による連鎖が残ったと、Douglas McKee は指摘している。
彼は、「SonicWall の研究者たちは、Apache Office における各種のパッチを参照し、コードベースに詳しくなり、その結果として、攻撃者の考え方を追跡するようになった。私は “think red, act blue” という言葉が好きなんだ。攻撃者のように考えながら、防御のために行動するという発想だ。つまり、SonicWall の研究者たちは、ある脆弱性にパッチを当てるための修正プログラムを、攻撃者マインド参照するようになり、それを回避しようとし、別の脆弱性の発見へとつなげていった」と語っている。
脆弱性の悪用を避けるには
SonicWall ブログで提供されるのは、アプリケーション内のプログラム・エクスポート機能にアクセスする攻撃者が、Apache OFBiz に送信するリクエストと、そこで用いるパラメータを含む、CVE-2024-38856 を悪用する攻撃チェーンのシナリオである:
“POST /webtools/control/forgotPassword/ProgramExport HTTP/1.1
groovyProgram=throw new Exception (‘whoami’ .execute () .text) ;”
CVE-2024-36104 を悪用できる、その他の URL は以下の通りだ:
- POST /webtools/control/forgotPassword/ProgramExport
- POST /webtools/control/showDateTime/ProgramExport
- POST /webtools/control/TestService/ProgramExport
- POST /webtools/control/view/ProgramExport
- POST /webtools/control/main/ProgramExport
この脆弱性は、Apache OFBiz の 18.12.14 以下の全バージョンに影響するが、暫定的なパッチは提供されていない。したがってユーザーは、最新バージョンへとアップグレードし、この脆弱性の悪用を防ぐ必要がある。
この脆弱性 CVE-2024-38856 の分析を、8月の初めに公開した Zscaler のブログによると、このアップグレードに失敗すると、攻撃者はログイン・パラメータの操作を達成し、ターゲット・サーバ上における任意のコード実行の可能性を得るという。最近は、PoC エクスプロイト・コードを悪用する攻撃者が増加しているため、特に注意が必要である。
この記事の原文のタイトルには CISA が記されていましたが、どちらかと言うと、SonicWall による分析が主体となっている内容です。影響の範囲が広範に及ぶだけに、早く収束してほしいですね。よろしければ、以下のリストも ご利用ください。
2024/08/27:CISA KEV:Apache OFBiz の CVE-2024-38856 を登録
2024/08/07:Apache OFBiz の CVE-2024-38856:PoC が提供
2024/08/04:Apache OFBiz の RCE 脆弱性 CVE-2024-38856 が FIX
IoT OT Security News 
You must be logged in to post a comment.