Investigadores de SonicWall Informar de una vulnerabilidad crítica en el sistema y marco ERP de código abierto Apache OFBiz. La falla, que conducía a la ejecución remota de código sin autenticación, fue reparada poco después de que otra vulnerabilidad fuera explotada en mayo. La vulnerabilidad, etiquetada como CVE-2024-38856, está clasificada como crítica y afecta a las versiones de Apache OFBiz hasta la 18.12.14. Fue reparada en la versión 18.12.15, que fue lanzada el 3 de agosto.

Índice
  1. Un módulo ampliamente utilizado
  2. Análisis de la falla anterior que condujo al descubrimiento

Un módulo ampliamente utilizado

Apache OFBiz, originalmente llamado Open for Business, ofrece módulos para la gestión de procesos empresariales, como contabilidad, recursos humanos, gestión de la cadena de suministro, gestión del catálogo de productos, gestión de relaciones con los clientes (CRM), fabricación, comercio electrónico y más. Estos módulos están construidos sobre un marco de desarrollo web basado en Apache, que también se puede utilizar para crear aplicaciones y funciones personalizadas adicionales.

No está claro cuántas empresas utilizan Apache OFBiz, ya que muchas pueden utilizarlo internamente, pero los datos públicos sugieren que grandes empresas como IBM, HP, Accenture, United Airlines, Home Depot y Upwork se encuentran entre los usuarios conocidos. Algunas aplicaciones empresariales de terceros, como Jira de Atlassian, también utilizan módulos OFBiz. El proyecto se utiliza en todo el mundo y en muchas industrias, pero más del 40% de los usuarios conocidos se encuentran en Estados Unidos.

Análisis de la falla anterior que condujo al descubrimiento

La falla descubierta se encuentra en la funcionalidad de “anulación de vista” y permite a atacantes no autenticados acceder a puntos finales sensibles y restringidos mediante solicitudes especialmente diseñadas, lo que permite la ejecución remota de código. De hecho, los investigadores de SonicWall descubrieron la vulnerabilidad mientras analizaban el parche de OFBiz para otra falla de navegación de directorios corregida en la versión 18.12.14 a fines de mayo. Esta falla anterior, con referencia CVE-2024-36104, también puede provocar la ejecución remota de código. Desde su divulgación, ha sido objeto de una prueba de concepto, pero a fines de julio, el SANS Internet Storm Center informó sobre intentos de explotar esta falla en la naturaleza.

Cabe destacar que otra falla de omisión de autenticación (CVE-2023-51467) descubierta por los investigadores de SonicWall en OFBiz en diciembre de 2023 también fue explotada posteriormente. Parece que OFBiz es de interés para los atacantes y que las aplicaciones creadas con el marco expuestas a Internet corren un riesgo inmediato. También cabe destacar que CVE-2024-38856 es la quinta vulnerabilidad de seguridad calificada como crítica o importante encontrada y parcheada en OFBiz este año. Las empresas que utilizan este marco ERP deben actualizar a la última versión lo antes posible y asegurarse de que OFBiz esté cubierto por sus productos de monitoreo de vulnerabilidades. SonicWall elogió a los desarrolladores de OFBiz por su rápida respuesta, ya que devolvieron un parche funcional para su análisis en menos de 24 horas. CISA se está tomando el asunto en serio e insta a las empresas a aplicar rápidamente el parche.