CVE-2024-47208 & CVE-2024-48962: Apache OFBiz Exposed to Remote Code Execution
2024/11/19 SecurityOnline — Apache Software Foundation が公表したのは、Apache OFBiz に存在する2つの深刻な脆弱性 CVE-2024-47208/ CVE-2024-48962 に対する、セキュリティ・アップデートをリリースである。この人気の OSS ビジネス アプリケーション・スイート Apache OFBiz の、脆弱性の悪用に成功した攻撃者は、任意のコード実行を達成し、機密データやビジネス ・オペレーションを危険にさらす可能性を手にする。
Apache OFBiz は、カスタム・ビジネス・ソリューションの開発に使用される、パワフル Java ベースの Web フレームワークである。柔軟なモジュール・アーキテクチャを備えた OFBiz は、ERP/CMS/e Commerce のための信頼性の高いプラットフォームとして機能し、世界中の企業をサポートしている。ただし、この人気により、サイバー犯罪者の格好の標的にもなっている。
CVE-2024-47208:Groovy 式を悪用したリモート・コード実行
この脆弱性は、OFBiz の URL 処理に起因するものであり、リモート攻撃者による Groovy 式の挿入を許すものとなる。特定の URL を操作することで、攻撃者はサーバ上で任意のコード実行をトリガーし、そのシステムの制御を奪う。この脆弱性は、Server-Side Request Forgery (SSRF) と Code Injection の組み合わせから生じる。
CVE-2024-48962:CSRF 攻撃を防御する SameSite 保護機能のバイパス
2番目の脆弱性である、CVE-2024-48962 の悪用成功した 攻撃者は、Cross-Site Request Forgery (CSRF) 攻撃を防ぐために設計された。重要なセキュリティメカニズム SameSite 制限をバイパスしていく。この脆弱性を悪用する攻撃者は、被害者のブラウザーからの発信を装う悪意のリクエストを作成し、不正なアクションやデータ侵害を引き起こす可能性を手にする。この脆弱性が関連するものには、コード・インジェクション/CSRF に加えて、OFBiz のテンプレート・エンジン内における、特殊要素の不適切な無効化の組み合わせなどがある。
リスクの軽減:OFBiz 18.12.17 へのアップグレード
すでに Apache Software Foundation は、OFBiz バージョン 18.12.17 をリリースし、これらの重大な脆弱性に対処している。それ以前のバージョンを使用している、すべてのユーザーに対して強く推奨されるのは、この最新リリースへと、直ちにアップグレードすることだ。この更新が遅滞すると、データ侵害/システム侵害/業務中断などの、深刻kなセキュリティ・リスクに。組織が直面する可能性が生じる。
Apache OFBiz の脆弱性 CVE-2024-47208/48962 が FIX しました。すでにアップデートがリリースされていますので、ご利用のチームは、ご確認ください。Apache OFBiz に関する直近のトピックは、2024/09/12 の「Apache OFBiz の RCE 脆弱性 CVE-2024-45195:PoC リリース後の積極的な攻撃を観測」です。よろしければ、Apache OFBiz で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.