Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat am Dienstag einen kritischen Sicherheitsfehler, der das Open-Source-Enterprise-Resource-Planning (ERP)-System Apache OFBiz betrifft, in ihren Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen, da es Beweise für eine aktive Ausnutzung in freier Wildbahn gibt.
Die Schwachstelle, bekannt als CVE-2024-38856, hat einen CVSS-Score von 9,8 und weist damit auf eine kritische Schweregrad hin.
„Apache OFBiz enthält eine falsche Autorisierungs-Schwachstelle, die es einem nicht authentifizierten Angreifer ermöglichen könnte, über eine Groovy-Payload im Kontext des OFBiz-Benutzerprozesses eine Remote-Code-Ausführung durchzuführen“, sagte CISA.
Details der Schwachstelle wurden erstmals Anfang des Monats bekannt, nachdem SonicWall sie als Patch-Bypass für eine andere Schwachstelle, CVE-2024-36104, beschrieben hatte, die eine Remote-Code-Ausführung über speziell gestaltete Anfragen ermöglicht.
„Eine Schwachstelle in der Override-View-Funktionalität macht kritische Endpunkte für nicht authentifizierte Bedrohungsakteure zugänglich, die über eine speziell gestaltete Anfrage eine Remote-Code-Ausführung ermöglichen“, sagte Hasib Vhora, Forscher bei SonicWall.
Die Entwicklung erfolgt fast drei Wochen, nachdem CISA eine dritte Schwachstelle, die Apache OFBiz (CVE-2024-32113) betrifft, in den KEV-Katalog aufgenommen hat, nachdem Berichte vorlagen, dass sie missbraucht worden war, um das Mirai-Botnet einzusetzen.
Obwohl es derzeit keine öffentlichen Berichte darüber gibt, wie CVE-2024-38856 in freier Wildbahn eingesetzt wird, wurden Proof-of-Concept (PoC)-Exploits öffentlich zugänglich gemacht.
Die aktive Ausnutzung von zwei Apache OFBiz-Schwachstellen ist ein Hinweis darauf, dass Angreifer großes Interesse an öffentlich bekannt gegebenen Schwachstellen zeigen und dazu neigen, sie opportunistisch auszunutzen, um anfällige Instanzen für schädliche Zwecke zu infiltrieren.
Organisationen wird empfohlen, auf Version 18.12.15 zu aktualisieren, um die Bedrohung zu mindern. Behörden des Federal Civilian Executive Branch (FCEB) wurden angewiesen, die notwendigen Aktualisierungen bis zum 17. September 2024 zu implementieren.