Apache แก้ไขช่องโหว่ Remote Code Execution (RCE) ระดับ Critical ใน OFBiz

Apache ได้แก้ไขช่องโหว่ระดับ critical ในซอฟต์แวร์โอเพ่นซอร์ส OFBiz (Open For Business) ซึ่งเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดได้ตามที่ต้องการบนเซิร์ฟเวอร์ Linux และ Windows ที่มีช่องโหว่

โดย OFBiz เป็นชุดแอปพลิเคชันที่ใช้จัดการระบบ customer relationship management (CRM) และระบบ enterprise resource planning (ERP) ซึ่งมีการใช้ Java-based web framework เพื่อพัฒนาแอปพลิเคชันดังกล่าว

โดยช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลดังกล่าวมีหมายเลข CVE-2024-45195 ถูกค้นพบโดยนักวิจัยของ Rapid7 ซึ่งช่องโหว่นี้เกิดจากการเรียกดูข้อมูลของตัวระบบที่เผยให้เห็น restricted paths ซึ่งนำไปสู่ unauthenticated direct request attacks ได้

นักวิจัย Ryan Emmons ได้เปิดเผยในรายงาน proof-of-concept exploit code เมื่อวันพฤหัสที่ 5 กันยายน 2024 ว่า "แม้ว่าผู้โจมตีที่ไม่มีข้อมูล credentials ครบถ้วน ก็สามารถใช้ช่องโหว่นี้เพื่อดูข้อมูลที่ขาดหายไปในแอปพลิเคชันได้ และยังสามารถรันโค้ดบนเซิร์ฟเวอร์ได้อีกด้วย"

ทีม security ของทาง Apache ได้แก้ไขช่องโหว่ดังกล่าวในเวอร์ชัน 18.12.16 โดยเพิ่มการตรวจสอบ authorization checks และแนะนำให้ผู้ใช้งาน OFBiz อัปเกรดการติดตั้งโดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น

การติดตั้ง และอัปเดตแพตช์

Emmons ระบุเพิ่มเติมว่าช่องโหว่ CVE-2024-45195 ยังเป็นการแพตช์ช่องโหว่ก่อนหน้านี้ที่ถูก bypass ได้ของ OFBiz อีก 3 รายการ ซึ่งได้รับการแก้ไขไปแล้วตั้งแต่ต้นปีคือ CVE-2024-32113, CVE-2024-36104 และ CVE-2024-38856 โดยช่องโหว่ทั้ง 3 รายการนี้ เป็นช่องโหว่ที่มีลักษณะคล้ายกัน และมีสาเหตุหลักเดียวกัน

โดยช่องโหวดังกล่าว เกิดจากปัญหา controller-view map fragmentation ทำให้ผู้โจมตีสามารถเรียกใช้โค้ด หรือใช้ SQL queries และทำการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ โดยไม่ต้องมีการตรวจสอบยืนยันตัวตน

ในช่วงต้นเดือนสิงหาคมที่ผ่านมา CISA ได้แจ้งเตือนว่าช่องโหว่ OFBiz CVE-2024-32113 (ซึ่งได้รับการแก้ไขในเดือนพฤษภาคม) กำลังถูกนำไปใช้ในการโจมตี ซึ่งนักวิจัยของ SonicWall ได้เปิดเผยรายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่ pre-authentication RCE หมายเลข CVE-2024-38856 หลังจากนั้นไม่กี่วันก็มีการโจมตีเกิดขึ้น

CISA ยังได้เพิ่มช่องโหว่ 2 รายการ ลงใน catalog of actively exploited โดยกำหนดให้หน่วยงานของรัฐบาลกลาง ต้องอัปเดตเพื่อแก้ไขช่องโหว่ของเซิร์ฟเวอร์ภายในสามสัปดาห์ ตามข้อกำหนดการปฏิบัติงานที่มีผลผูกพัน (BOD 22-01) ที่ออกในเดือนพฤศจิกายน 2021

แม้ว่า BOD 22-01 จะใช้ได้กับหน่วยงานของฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) เท่านั้น แต่ CISA เรียกร้องให้องค์กรทั้งหมดให้ความสำคัญกับการแก้ไขช่องโหว่ดังกล่าว เพื่อป้องกันการถูกโจมตี

ทั้งนี้ ในเดือนธันวาคม 2023 ผู้โจมตีได้ทำการโจมตีผ่านช่องโหว่ pre-authentication RCE (CVE-2023-49070) ของ OFBiz โดยใช้ proof of concept (PoC) เพื่อค้นหาเซิร์ฟเวอร์ Confluence ที่มีช่องโหว่

ที่มา : bleepingcomputer