미국 사이버 보안 및 인프라 보안 기관은 Apache OFBiz에 영향을 미치는 경로 탐색을 포함하여 두 가지 취약점이 악용되는 공격에 대해 경고했습니다.
Apache OFBiz(Open For Business)는 조직의 다양한 측면을 관리하기 위한 비즈니스 애플리케이션 모음을 제공하는 인기 있는 오픈소스 기업 자원 계획(ERP) 시스템입니다. 다재다능하고 비용 효율성이 뛰어나 다양한 산업과 기업 규모에서 사용됩니다.
CISA의 알려진 악용 취약성 카탈로그(KEV)에 추가된 결함은 CVE-2024-32113으로, 18.12.13 이전 OFBiz 버전에 영향을 미치는 경로 횡단 취약성입니다. 악용되면 공격자가 취약한 서버에서 임의의 명령을 원격으로 실행할 수 있습니다.
연방 기관과 주 정부 기관은 2024년 8월 28일까지 해당 위험을 해결하는 사용 가능한 보안 업데이트와 완화책을 적용해야 하며 그렇지 않을 경우 해당 제품 사용을 중단해야 합니다.
어제 KEV에 추가된 두 번째 결함은 CISA가 동일한 마감일을 정한 CVE-2024-36971로, 구글이 이번 주 초에 수정한 안드로이드 커널 제로데이 취약점입니다.
OFBiz 결함 세부 정보
Apache OFBiz CVE-2024-32113 결함은 2024년 5월 8일에 해결되었습니다. 그 달 말까지 보안 연구원들은 결함이 어떻게 맬웨어 배포와 다른 네트워크 세그먼트로의 피벗에 사용될 수 있는지 보여주는 완전한 악용 세부 정보를 공개했습니다.
이 결함은 불충분한 입력 검증과 사용자가 제공한 데이터의 부적절한 처리, 특히 URL을 정리하지 못하는 것의 조합으로 인해 발생하며, 이로 인해 디렉토리 탐색 시퀀스가 다음과 같이 허용됩니다. ../ 그리고 ; 보안 필터를 우회합니다.
이에 더해 사용자가 제공한 Groovy 스크립트를 실행할 때 차단 목록이 부족하여 위험한 명령을 차단하지 못하고 악의적인 행위자가 임의의 코드를 실행할 수 있습니다.
보안 연구원 “Unam4″가 자신의 블로그에 해당 결함을 악용하는 방법에 대한 세부 정보를 게시한 후, 다른 사람들이 해당 정보를 활용하여 작동하는 익스플로잇을 개발하여 GitHub에 업로드했습니다.
새로운 사전 인증 RCE
CISA가 CVE-2024-32113에 대한 활발한 악용에 대해 경고하는 가운데, Apache OFBiz의 최신 버전에 영향을 미치는 새로운 결함이 이번 주 초에 발견되었습니다.
CVE-2024-38856으로 추적된 이 결함은 Apache OFBiz 버전 18.12.14 이하에 영향을 미치는 심각한(CVSS 점수: 9.8) 사전 인증 원격 코드 실행 문제입니다.
SonicWall은 월요일에 CVE-2024-38856에 대한 광범위한 기술적 세부 정보를 공개했으며, GitHub에서는 몇 가지 개념 증명 익스플로잇이 공개되었습니다.
따라서 위협 행위자의 적극적인 악용은 언제든지 시작될 가능성이 높습니다.
이 문제는 OFBiz 버전 18.12.15가 출시되면서 해결되었으며, 이 버전은 모든 소프트웨어 사용자가 업그레이드해야 할 버전입니다.
