Apache OFBiz Update Fixes High-Severity Flaw Leading to Remote Code Execution
2024/09/06 TheHackerNews — OSS の ERP システムである Apache OFBiz に存在することが判明した、新たなセキュリティ上の欠陥が修正された。この脆弱性の悪用に成功した攻撃者は、Linux /Windows 上で認証を必要としないリモート・コード実行を許される可能性があるという。この脆弱性 CVE-2024-45195 (CVSS:7.5) は、OFBiz のバージョン 18.12.16 未満に影響を及ぼす。
Rapid7 のセキュリティ研究者である Ryan Emmons は、「有効な認証情報を持たない攻撃者であっても、Web アプリケーションにおける認証チェックの表示欠落を悪用することで、サーバ上で任意のコード実行を達成する」と、最新レポートで述べている。
今回の脆弱性 CVE-2024-45195 は、この数カ月間においてプロジェクト・メンテナたちが対処した、一連の問題である CVE-2024-32113/CVE-2024-36104/CVE-2024-38856 への修正を、回避するものだという点に注目すべきだ。
実際に CVE-2024-32113/CVE-2024-38856 は、時間の経過とともに悪用されるようになり、前者に関して言えば、Mirai ボットネット・マルウェアを展開するために利用されている。
Rapid7 は、「3件の古い脆弱性は、コントローラーを非同期化することで、マップの状態を表示する機能に起因しており、この問題は、どのパッチでも完全に修正されていなかった」と述べている。
この脆弱性の悪用に成功した攻撃者は、コードや SQL クエリを実行し、認証を必要とせずにリモート・コードを実行する可能性を手にする。
新たに導入された最新パッチにより、ターゲット・コントローラーだけに基づいた、認証チェックを実行するのではなく、ユーザーが認証されていない場合には、それを表示することで、匿名アクセスの許可/拒否の確認が可能になる。
なお、Apache OFBiz バージョン 18.12.16 では、特別に細工された URL の悪用により、不正アクセスやシステム侵害にいたる恐れのある、深刻なサーバ・サイド・リクエスト フォージェリ (SSRF) の脆弱性 CVE-2024-45507 (CVSS:9.8) も対処されている。
Apache OFBiz の RCE 脆弱性 CVE-2024-45195 が FIX しましたので、可能な限り早急に、パッチを適用してください。文中でも指摘されているように、この脆弱性 CVE-2024-45195 は、この数ヶ月の間に対応されてきた、3件の脆弱性への対応をバイパスするものとなっています。さらに、そのうちの2件は、CISA KEV にも登録されている深刻なものです。ご利用のチームは、十分に ご注意ください。よろしければ、Apache OFBiz で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.