A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na terça-feira uma falha crítica de segurança que afeta o sistema de planejamento de recursos empresariais (ERP) de código aberto Apache OFBiz ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa na natureza.
A vulnerabilidade, conhecida como CVE-2024-38856, tem uma pontuação CVSS de 9,8, indicando gravidade crítica.
“O Apache OFBiz contém uma vulnerabilidade de autorização incorreta que pode permitir a execução remota de código por meio de uma carga útil do Groovy no contexto do processo do usuário do OFBiz por um invasor não autenticado”, disse a CISA.
Os detalhes da vulnerabilidade vieram à tona no início deste mês, depois que a SonicWall a descreveu como um desvio de patch para outra falha, CVE-2024-36104, que permite a execução remota de código por meio de solicitações especialmente elaboradas.
“Uma falha na funcionalidade de visualização de substituição expõe endpoints críticos a agentes de ameaças não autenticados que usam uma solicitação elaborada, abrindo caminho para a execução remota de código”, disse o pesquisador da SonicWall, Hasib Vhora.
O desenvolvimento ocorre quase três semanas após a CISA colocar uma terceira falha afetando o Apache OFBiz (CVE-2024-32113) no catálogo KEV, após relatos de que ele havia sido usado para implantar o botnet Mirai.
Embora atualmente não haja relatórios públicos sobre como o CVE-2024-38856 está sendo transformado em arma, exploits de prova de conceito (PoC) foram disponibilizados publicamente.
A exploração ativa de duas falhas do Apache OFBiz é uma indicação de que os invasores estão demonstrando interesse significativo e uma tendência a atacar vulnerabilidades divulgadas publicamente para violar oportunisticamente instâncias suscetíveis para fins nefastos.
Recomenda-se que as organizações atualizem para a versão 18.12.15 para mitigar a ameaça. As agências do Federal Civilian Govt Department (FCEB) foram obrigadas a aplicar as atualizações necessárias até 17 de setembro de 2024.
