Apache OFBiz in Versionen vor 18.12.16 ist anfällig für eine nicht authentifizierte Remote Code Execution (RCE) Schwachstelle, die es Angreifern ermöglicht, beliebigen Code sowohl auf Linux- als auch auf Windows-Servern auszuführen. Diese Schwachstelle resultiert aus fehlenden Autorisierungsprüfungen in der Webanwendung, wodurch Angreifer bestimmte Ansichten ohne Authentifizierung nutzen können.
Die Schwachstelle ist besonders besorgniserregend, da sie frühere Sicherheits-Patches für CVE-2024-32113, CVE-2024-36104 und CVE-2024-38856 umgeht und somit einen Fall von Patch-Bypass darstellt. Darüber hinaus war CVE-2024-32113 bereits im Katalog der bekannten ausgenutzten Schwachstellen (KEV) der CISA enthalten, was auf eine frühere aktive Ausnutzung hindeutet. Auch die Ausnutzung von CVE-2024-45195 wurde aktiv beobachtet, was die Dringlichkeit der Implementierung von Minderungsmaßnahmen erhöht.
| Produkt | OFBiz |
| Datum | 07.02.2025 09:28:20 |
| Informationen |
|
Technische Zusammenfassung
Apache OFBiz, ein Open-Source-ERP- und CRM-System, ist von einer kritischen Sicherheitslücke betroffen, die es Remote-Angreifern ermöglicht, ohne Authentifizierung die Kontrolle über den Server zu übernehmen. Das Problem resultiert aus unzureichenden Autorisierungsprüfungen in der Webschnittstelle, insbesondere im Endpunkt /webtools/control/forgotPassword/xmldsdump. Durch die Ausnutzung dieser Schwachstelle kann ein Angreifer beliebige Dateien auf dem Server schreiben, was letztendlich zu einer Remote Code Execution führt.
Die Schwachstelle ermöglicht es Angreifern, Befehle mit denselben Berechtigungen wie die Apache OFBiz-Anwendung auszuführen, was potenziell zur Kompromittierung sensibler Daten, zur Verbreitung von Malware oder zu lateralen Bewegungen zu anderen Systemen im Netzwerk führen kann. Diese Schwachstelle ist besonders gefährlich, da sie keine Authentifizierung erfordert und aus der Ferne ausgenutzt werden kann.
Empfehlungen
Benutzer sollten auf die Version 18.12.16 von Apache OFBiz aktualisieren, die Korrekturen für diese Schwachstelle enthält und auch frühere Probleme im Zusammenhang mit Patch-Umgehungen löst. Sicherheitsteams sollten zudem auf Anzeichen einer Ausnutzung achten und zusätzliche Regeln in einer Web Application Firewall (WAF) implementieren, um Exploit-Versuche zu blockieren.
Referenzen:
[Callforaction-THREAT-Footer]
Leave a Reply