La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregó el martes una falla de seguridad crítica que afecta al sistema de planificación de recursos empresariales (ERP) de código abierto Apache OFBiz a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), citando evidencia de explotación activa en la naturaleza.
La vulnerabilidad, conocida como CVE-2024-38856, tiene una puntuación CVSS de 9,8, lo que indica una gravedad crítica.
«Apache OFBiz contiene una vulnerabilidad de autorización incorrecta que podría permitir la ejecución remota de código a través de una carga útil de Groovy en el contexto del proceso de usuario OFBiz por parte de un atacante no autenticado», dijo CISA.
Los detalles de la vulnerabilidad salieron a la luz por primera vez a principios de este mes después de que SonicWall la describiera como una evasión de parche para otra falla, CVE-2024-36104, que permite la ejecución remota de código a través de solicitudes especialmente diseñadas.
«Una falla en la funcionalidad de vista de anulación expone puntos finales críticos a actores de amenazas no autenticados que utilizan una solicitud diseñada, allanando el camino para la ejecución remota de código», dijo el investigador de SonicWall, Hasib Vhora .
El desarrollo se produce casi tres semanas después de que CISA colocara una tercera falla que afecta a Apache OFBiz (CVE-2024-32113) en el catálogo KEV, luego de informes de que había sido abusado para implementar la botnet Mirai.
Si bien actualmente no hay informes públicos sobre cómo se está utilizando CVE-2024-38856 como arma, se han puesto a disposición del público exploits de prueba de concepto (PoC).
La explotación activa de dos fallas de Apache OFBiz es una indicación de que los atacantes están mostrando un interés significativo y una tendencia a aprovechar las vulnerabilidades divulgadas públicamente para violar oportunistamente instancias susceptibles con fines nefastos.
Se recomienda a las organizaciones que actualicen a la versión 18.12.15 para mitigar la amenaza. Se ha ordenado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las actualizaciones necesarias antes del 17 de septiembre de 2024.
Fuente y redacción: theahckernews.com
